Il Corso di Alta Formazione in Privacy e Data Protection Officer, giunto alla X edizione, intende offrire, per le figure professionali da formare (in primis DPO, ma anche Privacy Expert e Consulenti Privacy) una preparazione spiccatamente interdisciplinare e con taglio operativo, che si sviluppa in quattro macro-aree tematiche: quella giuridica, quella informatica (misure di sicurezza, privacy by design e by default, business intelligence e gestione dei processi, gestione del data breach), quella di gestione del rischio e della sicurezza, quella sociologica con riguardo all'utilizzo dei big data e alle metodologie di supporto all'attività del DPO.
Ad ogni macro-area tematica corrisponde un insegnamento, affidato alla responsabilità didattica di un docente titolare:
E' altresì previsto l'apporto, durante il corso, anche di altri docenti esperti nelle materie del corso.
Il piano didattico ha ad oggetto, con taglio interdisciplinare (giuridico, informatico, risk management, gestione dei processi, aspetti metodologici, etc.), la privacy compliance in base alla normativa europea (GDPR) e nazionale (Codice in materia di protezione dei dati personali, come modificato dal d.lgs. 101/18 e Provvedimenti del Garante) sia con riferimento agli adempimenti applicabili a ciascun titolare/responsabile, sia con riferimento a specifici settori di applicazione (sanitario, bancario, marketing, etc.).
Tra gli argomenti affrontati si segnalano:
1. - Inquadramento e ambito di applicazione materiale e territoriale della disciplina; individuazione dei ruoli privacy e costruzione dell'organigramma privacy; i soggetti della fattispecie di trattamento e gli atti/accordi per la loro designazione (titolare, contitolare, responsabile del trattamento, responsabile della protezione dei dati o Data Protection Officer, amministratore di sistema, soggetti designati/incaricati, interessato, soggetti terzi; l'autorità Garante per la protezione dei dati personali e le autorità di controllo degli altri Paesi); i principi in materia di protezione dei dati personali e l'accountability; i luoghi del trattamento e gli strumenti del trattamento; le condizioni di liceità del trattamento; l'informativa e gli altri diritti dell'interessato; individuazione e mappatura dei trattamenti; il registro delle attività di trattamento per il titolare e per il responsabile; la privacy by design e by default; l'analisi per processi e la gestione del rischio; norme ISO e processi di trattamento; i privacy audit; le misure di sicurezza; la valutazione d'impatto (PIA/DPIA); la consultazione preventiva; il data breach e la gestione delle violazioni; il flusso transfrontaliero e internazionale di dati personali; trattamenti illeciti, risarcimento del danno, sanzioni; il ruolo dell'Autorità garante; il trattamento dei dati personali in ambito sanitario, bancario, nei rapporti di lavoro, nelle comunicazioni elettroniche e nel marketing; il trattamento dei dati personali da parte degli enti pubblici, etc.); i singoli adempimenti; operatività del Data Protection Officer, linee guida, casistica ed esercitazioni su temi settoriali.
2. - Principio di accountability e gestione degli incidenti informatici; la documentazione del data breach e la gestione dell’incident responce; computer forensics a supporto dell’incident management in caso di data breach (realtà digitale e fisica; rappresentazione digitale di dati e informazioni; le prove nel mondo digitale; principali fonti di prove su dispositivi fisici e reti; acquisizione dei dati, tipi di sorgenti, metodologie di acquisizione; l’acquisizione di dati da device fisico e da traffico di rete; problematiche di acquisizione di dischi RAID; acquisizione di dati su cloud storage; le macchine virtuali e il cloud forensics; specificità del cloud); acquisizione delle prove digitali; la catena di custodia; acquisizione live del traffico di rete; analisi e validazione dei dati; raccomandazioni di best practice (ISO/IEC 270xx, Nist, ed altri); il ruolo e competenze investigative del Data Protection Officer in caso di data breach; collaborazione fra Garante, forze dell’ordine e DPO in caso di data breach); le misure di sicurezza informatiche nelle pubbliche amministrazioni e nelle aziende; sistema integrato di gestione e norme ISO; il sistema di gestione della sicurezza delle informazioni e il sistema di gestione della privacy; gli audit.
3. - Introduzione alla security aziendale e al risk management; metodologia della sicurezza; analisi del rischio e valutazione di impatto: tecniche di risk management; security manager e politiche di sicurezza; social engineering: tecniche di comunicazione per la cattura delle informazioni; strumenti e tecniche per la conduzione del Data Protection Impact Assessment (DPIA); Privacy e controllo a distanza dei lavoratori. Analisi della disciplina e case study; Privacy e dati biometrici (analisi della disciplina e case study); Privacy, comunicazioni elettroniche e marketing (analisi della disciplina e case study); Privacy e sanità elettronica (analisi della disciplina e case study).
4. - Big data e processi produttivi nella società dell'informazione; Big Data, data mining e Business Intelligence. Case study; Big Data, IoT e applicazione dei principi di Data Protection by Design e byDefault; uso dei Big Data nella sicurezza delle informazioni; metodologie e strumenti a supporto del DPO; Cybersecurity; Aspetti definitori della Cyber Security e sua rilevanza; Cyber Crime e il mercato del crimine on line; perché il Cyber Crime è interessato alle aziende e ai nostri computer; le persone sono la prima vulnerabilità di un sistema informatico; tipologie di eventi/incidenti Cyber; Case study anonimizzati e il caso «New York Times»; la gestione dell’incidente informatico; gli smartphone come nuovo vettore per le intrusioni informatiche; sistemi e tecnologie per la tutela del patrimonio industriale digitale aziendale (misure di sicurezza, ISO 27001 Sistema di Gestione della Sicurezza delle Informazioni, etc.); la Cyber Defence, il SOC e la pro-attività.
Rispetto ai temi sopra indicati è possibile che si verifichino variazioni in relazione alle esigenze d'aula o in relazione agli sviluppi della normativa e/o delle tecnologie. In ogni caso particolare attenzione è posta alla casistica e agli adempimenti in materia di protezione dei dati personali.
Sotto il profilo metodologico il corso comprende: a) lezioni frontali; b) illustrazione di case studies; c) esercitazioni; d) gestione del processo di compliance; e) elaborazione di un paper di fine corso, da destinasti ad eventuale pubblicazione (se meritevole); f) esame finale con prova scritta ed orale su parte teorica e soluzione di caso pratico, al fine di verificare il livello di apprendimento.
Viene messo a disposizione dei Corsiti il materiale delle lezioni.
A supporto della didattica frontale, verrà usata la piattaforma Moodle.
Durante il Corso sono previste esercitazioni pratiche e analisi di case studies
Ciascun corsista è inoltre chiamato ad approfondire, con un elaborato (sullo stile di un articolo scientifico, di circa 15-30 pp.), un tema di proprio interesse nell’ambito delle materie di cui agli insegnamenti del Corso (tenendo conto dei provvedimenti del Garante). I contributi meritevoli di pubblicazione saranno destinati a riviste scientifiche.
Al termine del Corso, al fine di verificare le competenze acquisite, è prevista una prova finale, che si articola in due fasi:
(I) test in forma scritta, con (1) domande a risposta multipla e (2) a risposta aperta, vertente sulla disciplina giuridica in materia di diritto alla protezione dei dati personali (di cui all’insegnamento «Diritto alla Protezione dei dati personali e Data Protection Officer») e sui principali argomenti degli altri insegnamenti del Corso, e con (3) analisi di un caso, in relazione al quale vengono richiesti specifici task rientranti nelle competenze del DPO;
(II) prova orale sugli argomenti che possono essere oggetto della prova scritta, eventualmente seguita dalla discussione dell’elaborato di fine corso.
La prova finale si intende superata con il raggiungimeto di almeno 18 punti su 30, con valutazione complessiva dei risultati raggiunti nelle diverse prove
Al termine del Corso, a chi supererà la prova finale, verrà rilasciato dall'Università di Bologna un attestato di superamento del Corso, accompagnato da una valutazione in trentesimi
Il Corso dà inoltre diritto a 16 CFU (Crediti Formativi Universitari), che potranno essere riconosciuti nell’ambito delle lauree magistrali del nostro sistema universitario
Ove vi sia interesse da parte degli iscritti, verrà avanzata richiesta presso l’Ordine degli Avvocati di Bologna per il riconoscimento di crediti per la formazione forense. Per il rilascio dei crediti validi per la formazione forense, l'Ordine degli Avvocati richiede che i corsisti abbiano maturato una frequenza parti ad almeno l'80% delle ore di lezioni del corso.
I tirocini formativi non sono previsti. Sarà possibile svolgere tirocini formativi (stage) presso le imprese e gli enti che lo richiedano qualora i Corsisti si trovino già in possesso di requisiti di carattere soggettivo. Ove le imprese ne facciano richiesta, vengono segnalati i corsisti interessati ad esperienze professionalizzanti, anche al di fuori dei tirocini formativi.
I corsisti che lo desiderano possono essere coinvolti nelle attività dell'Osservatorio Privacy e/o del Gruppo di Ricerca Data Protection Law (Coordinamento e Responsabilità Scientifica del Prof. Avv. Fabio Bravo), collegati con le attività del Corso di Alta Formazione in Privacy e Data Protection Officer dell'Università di Bologna. All'Osservatorio Privacy e al Gruppo di Ricerca Data Protection Law possono aderire gli Alumni (ex Corsisti ed ex Uditori del Corso) che ne facciano domanda. Durante lo svolgimento del Corso di Alta Formazione i Corsisti e gli Uditori frequentanti possono comunque prendere parte ad una o più attività dell'Osservatorio Privacy e del Gruppo di Ricerca Data Protection Law.