Attenzione! E' possibile che si verifichino problemi per la visulizzazione di questa pagina web con il browser in uso. Per un miglior utilizzo si consiglia di aggiornare il browser.
 

Corsi professionalizzanti

Percorso professionalizzante - Privacy expert e Data Protection Officer in banca

New

La posizione del DPO è destinata, ad assumere particolare importanza nell’impresa bancaria ed è per questo che ABIFormazione propone il percorso professionalizzante “Privacy expert e Data Protection Officer in banca”: una risposta concreta alle richieste degli intermediari di accelerare il processo di costruzione delle conoscenze e competenze tecnico-specialistiche di questa nuova figura professionale.

Il percorso, attraverso un approccio modulare, consente ai partecipanti di acquisire una conoscenza approfondita della normativa sulla protezione dei dati personali, di individuare le attività da svolgere per poter informare e fornire consulenza al titolare del trattamento partecipando in modo consapevole a tutte le scelte aziendali che riguardano il trattamento e la sicurezza dei dati in banca.

La metodologia didattica è caratterizzata da un mix calibrato di lezioni frontali animate da discussioni in plenaria, dall’attivazione diretta dei partecipanti nella comprensione e soluzione di casi pratici ed esercitazioni guidate, per un impatto ottimale sull’apprendimento.

Il Percorso è strutturato in tre moduli:

  • I principi e le regole della nuova privacy
  • Requisiti, compiti e attività in pratica del DPO
  • IT, sicurezza e protezione dei dati

Al termine del Percorso è prevista una sessione di valutazione delle conoscenze acquisite per poter ricevere l’attestato “Privacy expert e Data Protection Officer in banca”.

Per maggiori informazioni scarica qui la Brochure del percorso.


Destinatari

Responsabile della protezione dei dati.


Programma didattico

I moduli del percorso

  • Primo Modulo - Principi e regole della nuova privacy
  • Secondo Modulo - Requisiti, compiti e attività in pratica del DPO
  • Terzo Modulo - IT, sicurezza e protezione dei dati

Primo modulo

PRIMO GIORNO

Privacy: struttura regolamentare e l’evoluzione normativa internazionale, europea e nazionale
General Data Protection Regulation (GDPR) e Codice privacy: il coordinamento tra le due discipline

  • La riforma sulla protezione dei dati personali: cosa cambia
  • Il coordinamento tra il nuovo regolamento privacy e la disciplina nazionale

Il GDR e il rafforzamento dei principi relativi al trattamento dei dati

  • Accountability
  • Privacy by design e by default
  • Trasparenza sulle informazioni
  • Conservazione
  • Tecnologia e rapporti di lavoro: focus su videosorveglianza, geolocalizzazione, internet, posta elettronica, social
  • Policy aziendali e rapporto di lavoro
  • La valutazione di impatto sui trattamenti ad alto rischio

Trattamento e diritti degli interessati: dalla norma ai percorsi implementativi intrapresi dalle banche

  • Principi di “legittimità” del trattamento e loro utilizzo nella relazione banca e cliente: consenso, obbligo contrattuale, obbligo di legge, legittimo interesse
  • Informativa agli interessati
  • I diritti dell’interessato: accesso, rettifica, oblio, cancellazione, limitazione, portabilità
  • I processi decisionali automatizzati e la profilazione
  • La notifica della violazione dei dati personali

Le nuove previsioni in tema di ricorsi, sanzioni e responsabilità

Analisi di casi: la violazione dei dati personali e le relative attività di documentazione, notifica e comunicazione del DPO

Esercitazione guidata - L’individuazione degli obblighi derivanti dal Regolamento Europeo

 

SECONDO GIORNO

I trasferimenti di dati al di fuori della UE

  • Trasferimento di dati verso gli USA, trasferimenti previa valutazione di adeguatezza degli strumenti di protezione
    e il Binding Corporate Rules
  • Cooperazione internazionale

Circolazione delle informazioni all’interno e all’esterno dell’impresa bancaria

  • Circolazione dei dati tra banche e nel gruppo bancario
  • Attività di recupero credito e di cessione di crediti
  • I dati del whistleblowing
  • I dati dell’antiriciclaggio e dell’anagrafe tributaria
  • Esternalizzazione di servizi

Trattamento dei dati personali della clientela bancaria, di altri soggetti e relative implicazioni

  • L’attribuzione delle responsabilità in materia di trattamento dei dati personali in banca e la formazione del personale
    che partecipa ai trattamenti
  • Raccolta e utilizzo dei dati dei clienti
  • Il consenso al trattamento dei dati
  • Trattamento di dati giudiziari
  • Trattamento dei dati per il collocamento di prodotti di terzi
  • Le principali banche dati pubbliche e private di interesse in ambito bancario
  • Trattamento dei dati personali di fornitori e consulenti
  • Trattamento dei dati personali di soggetti terzi

Esercitazione guidata - La raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di conformità

 

TERZO GIORNO

Trattamento dei dati personali a fini di marketing

  • Segmentazione e profilazione della clientela bancaria
  • Sistemi di CRM
  • Informativa ai clienti e raccolte del consenso ai fini di marketing
  • Marketing effettuato con agenti, call center, cessione dei dati a terzi

Esercitazione guidata - La verifica dell’applicazione del Regolamento Europeo per quanto attiene l’informazione e l’esercizio dei diritti dell’interessato

Trattamento dei dati personali dei dipendenti in ambito bancario 

  • Specificità del diritto del lavoro e del lavoratore bancario
  • Consenso al trattamento
  • Categorie particolari di dati
  • Soggetti che operano sotto la responsabilità del titolare o del Responsabile
  • Diritto di accesso e limitazioni
  • Ruolo della contrattazione collettiva

Sistemi di monitoraggio sul posto di lavoro

  • La normativa del Jobs Act e Parere 2/2017 del Gruppo di lavoro articolo 29
  • Internet e posta elettronica
  • Videosorveglianza
  • Geolocalizzazione
  • Social network

Il coordinamento tra il GDPR e le altre normative rilevanti per il settore bancario

Secondo modulo

PRIMO GIORNO

Identikit del Data Protection Officer in banca

  • Posizionamento organizzativo, requisiti personali e professionali, individuazione e designazione, formazione continua
  • Doveri, poteri, responsabilità e verifica di possibili conflitti di interesse e/o incompatibilità
  • Sorveglianza della normativa sulla protezione dei dati
  • Gestione delle politiche e degli standard aziendali di Data Protection
  • Monitoraggio e reporting del DPO attraverso specifici KPI
  • La figura del DPO nell’ambito dei Comitati Data Protection delle banche
  • Il DPO in un gruppo bancario e l’ipotesi di esternalizzazione
  • La certificazione professionale

 I rapporti del DPO con le diverse funzioni della banca e con l’Autorità Garante per la protezione dei dati personali

  • Il DPO come punto di contatto con l’autorità di controllo, la consultazione di propria iniziativa e la cooperazione
    su richiesta
  • I rapporti con le diverse funzioni della banca
  • L’attività di informazione, consulenza e indirizzo nei confronti del titolare o responsabile del trattamento
  • L’attività di supervisione delle «figure privacy» interne alla banca

Esercitazione guidata - La verifica delle attività poste in essere dalla banca richieste dall’autorità di controllo

Il piano di implementazione «protezione dei dati personali» per la gestione del GDPR

  • Le linee guida ABI e ABILAB per l’implementazione del GDPR
  • Gli strumenti per attuare l’implementazione del GDPR e per la conformità su misura
  • Analisi e mappatura dei processi in banca
  • La privacy by design e by default in pratica
  • Esempi di policy interna per l’implementazione del GDPR

Esercitazione guidata - La protezione dei dati sin dalla progettazione di un prodotto bancario

 

SECONDO GIORNO

Il sistema documentale data protection previsto dal nuovo Regolamento Europeo

  • Il sistema documentale come strumento di accountability
  • I registri
  • I documenti di attestazione
  • Le liste dei soggetti al trattamento dei dati
  • Audit report e verifiche compliance in ambito privacy

L’attività di vigilanza del DPO sul sistema documentale data protectione la conservazione dei documenti

L’approccio basato sul rischio per la data protection: aspetti organizzativi e procedurali

  • Risk data protection: determinazione, valutazione e approccio risk based
  • Individuazione delle aree bancarie ad altro rischio
  • Analisi dei trattamenti di dati personali della banca
  • Aree da sottoporre ad audit

Esercitazione guidata - Il risk assessment data protection

 

TERZO GIORNO

La valutazione di impatto sulla protezione dei dati (DPIA)

  • La data protection impact analysis (DPIA) per acquisire una visione chiara e completa dei trattamenti dei dati personali
    e garantire la conformità ai principi del GDPR
  • L’autorizzazione preventiva e la consultazione preventiva
  • Come condurre una DPIA: scelta della metodologia
  • La gestione dei rischi derivanti da potenziali violazioni al trattamento dei dati
  • Partecipazione del DPO alle procedute di valutazione di impatto sulla protezione dei dati
  • Vigilanza del DPO sulla procedura di valutazione

Esercitazione guidata - La valutazione del DPO sulla conduzione della data protection impact analysis

Terzo modulo

PRIMO GIORNO

I sistemi informativi della banca: le conoscenze e competenze del DPO in ambito IT

  • L’infrastruttura tecnologica in banca e il posizionamento dei dati nei sistemi informativi
  • Mappatura e controllo dell’architettura ICT della banca
  • L’analisi dei file di registro dei dati

I canali per l’accesso ai servizi della banca da parte della clientela

  • L’accesso all’home banking e corporate banking: i dati sensibili e loro trattamento
  • ATM (automatic teller machine) e POS (point of sales)
  • Tecniche di Strong Authentication e le novità della Direttiva PSD2 e della Direttiva eIDAS

L’utilizzo delle nuove tecnologie in banca e i principi per il trattamento dei dati

  • Cloud computing
  • Smart contract
  • L’identità digitale
  • Big data privacy
  • I modelli Blockchain

Data protection e data governance

Esercitazione guidata

  • L’individuazione del posizionamento dei trattamenti all’interno dell’architettura ICT della banca
  • Quali domande porre alla funzione IT per ricavare le informazioni necessarie sulla mappatura dei trattamenti
  • L’individuazione delle aree a maggior rischio per la tutela degli interessati

 

SECONDO GIORNO

Sicurezza dei dati personali e sistemi bancari

  • Le disposizioni europee e nazionali in materia di sicurezza dei dati e di reati informatici
  • GDPR e Cyber Security due approcci diversi per un unico obiettivo: il mantenimento del controllo sui propri dati
  • L’Amministratore di sistema nel nuovo Regolamento Europeo

Misure tecnico-organizzative per la sicurezza dei dati

  • Misure organizzative e tecniche di custodia e controllo dei dati
  • Sistemi di autenticazione e autorizzazione informatica
  • Tracciamento e controlli degli accessi ed operazioni

Analisi dei rischi sul trattamento dei dati

  • Analisi delle minacce e delle vulnerabilità che insistono sugli asset sulle informazioni e dati aziendali
  • Analisi dei rischi per la sicurezza dei dati
  • Pianificazione delle misure di rimedio

Strumenti per la sicurezza

  • Strumenti per la protezione di infrastrutture
  • Anonimizzazione: tecniche di randomizzazione e generalizzazione
  • Pseudonimizzazione: tecniche di crittografia, di hashing, di tokenizzazione

Data breach in pratica

  • Regole di data mining per la rilevazione delle anomalie, tecniche di investigation per l’analisi delle violazioni
  • Come identificare le violazioni da notificare
  • Il processo di notificazione data breach

Esercitazione guidata - L’attuazione delle misure di sicurezza dei dati personali: un’attività progressiva:

  • l’applicazione delle misure di sicurezza «minime», «necessarie» e «opportune»
  • l’analisi dei rischi per l’identificazione delle misure di «sicurezza adeguate» per la protezione dei trattamenti
  • la valutazione di impatto in caso di rischio elevato e la determinazione delle ulteriori di «sicurezza adeguate»
    di protezione