Attenzione! E' possibile che si verifichino problemi per la visulizzazione di questa pagina web con il browser in uso. Per un miglior utilizzo si consiglia di aggiornare il browser.
 

Corsi professionalizzanti

Percorso professionalizzante - Privacy expert e Data Protection Officer in banca

New

La posizione del DPO è destinata, ad assumere particolare importanza nell’impresa bancaria ed è per questo che ABIFormazione propone il percorso professionalizzante “Privacy expert e Data Protection Officer in banca”: una risposta concreta alle richieste degli intermediari di accelerare il processo di costruzione delle conoscenze e competenze tecnico-specialistiche di questa nuova figura professionale.

Il percorso, attraverso un approccio modulare, consente ai partecipanti di acquisire una conoscenza approfondita della normativa sulla protezione dei dati personali, di individuare le attività da svolgere per poter informare e fornire consulenza al titolare del trattamento partecipando in modo consapevole a tutte le scelte aziendali che riguardano il trattamento e la sicurezza dei dati in banca.

La metodologia didattica è caratterizzata da un mix calibrato di lezioni frontali animate da discussioni in plenaria, dall’attivazione diretta dei partecipanti nella comprensione e soluzione di casi pratici ed esercitazioni guidate, per un impatto ottimale sull’apprendimento.

Il Percorso è strutturato in tre moduli:

  • I principi e le regole della nuova privacy
  • Requisiti, compiti e attività in pratica del DPO
  • IT, sicurezza e protezione dei dati

Al termine del Percorso è prevista una sessione di valutazione delle conoscenze acquisite per poter ricevere l’attestato “Privacy expert e Data Protection Officer in banca”.

Per maggiori informazioni scarica qui la Brochure del percorso.


Destinatari

Responsabile della protezione dei dati.


Programma didattico

I moduli del percorso

  • Primo Modulo - Principi e regole della nuova privacy
  • Secondo Modulo - Requisiti, compiti e attività in pratica del DPO
  • Terzo Modulo - IT, sicurezza e protezione dei dati

Primo modulo

PRIMO GIORNO

Privacy: struttura regolamentare e l’evoluzione normativa internazionale, europea e nazionale
General Data Protection Regulation (GDPR) e Codice privacy: il coordinamento tra le due discipline

  • La riforma sulla protezione dei dati personali: cosa cambia
  • Il coordinamento tra il nuovo regolamento privacy e la disciplina nazionale

Il GDR e il rafforzamento dei principi relativi al trattamento dei dati

  • Accountability
  • Privacy by design e by default
  • Trasparenza sulle informazioni
  • Conservazione
  • Le misure per la protezione dei dati personali e la sicurezza dei trattamenti
  • La valutazione di impatto sui trattamenti ad alto rischio

Il GDPR e il rafforzamento dei diritti degli interessati

  • Data breach
  • La proporzionalità degli interventi
  • Valutazioni di adeguatezza
  • Le informazioni sui trattamenti e le possibilità di accesso ai dati
  • Esercizio dei diritti degli interessati
  • Consenso informato libero e verificabile
  • L’oblio dei dati personali
  • La portabilità dei dati

Le nuove previsioni in tema di ricorsi, sanzioni e responsabilità

Analisi di casi: la violazione dei dati personali e le relative attività di documentazione, notifica e comunicazione del DPO

Esercitazione guidata - L’individuazione degli obblighi derivanti dal Regolamento Europeo

 

SECONDO GIORNO

I trasferimenti di dati al di fuori della UE

  • Trasferimento di dati verso gli USA, trasferimenti previa valutazione di adeguatezza degli strumenti di protezione
    e il Binding Corporate Rules
  • Cooperazione internazionale

Circolazione delle informazioni all’interno e all’esterno dell’impresa bancaria

  • Circolazione dei dati tra banche e nel gruppo bancario
  • Attività di recupero credito e di cessione di crediti
  • I dati del whistleblowing
  • I dati dell’antiriciclaggio e dell’anagrafe tributaria
  • Esternalizzazione di servizi

Trattamento dei dati personali della clientela bancaria, di altri soggetti e relative implicazioni

  • L’attribuzione delle responsabilità in materia di trattamento dei dati personali in banca e la formazione del personale
    che partecipa ai trattamenti
  • Raccolta e utilizzo dei dati dei clienti
  • Il consenso al trattamento dei dati
  • Trattamento di dati giudiziari
  • Trattamento dei dati per il collocamento di prodotti di terzi
  • Le principali banche dati pubbliche e private di interesse in ambito bancario
  • Trattamento dei dati personali di fornitori e consulenti
  • Trattamento dei dati personali di soggetti terzi

Esercitazione guidata - La raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di conformità

 

TERZO GIORNO

Trattamento dei dati personali a fini di marketing

  • Segmentazione e profilazione della clientela bancaria
  • Sistemi di CRM
  • Informativa ai clienti e raccolte del consenso ai fini di marketing
  • Marketing effettuato con agenti, call center, cessione dei dati a terzi

Esercitazione guidata - La verifica dell’applicazione del Regolamento Europeo per quanto attiene l’informazione e l’esercizio dei diritti dell’interessato

Trattamento dei dati personali dei dipendenti in ambito bancario 

Sistemi di monitoraggio sul posto di lavoro

La normativa privacy e le principali interrelazioni con altre recenti novità normative del settore

  • Privacy e Antiriciclaggio
  • Privacy e FATCA
  • Privacy e prevenzioni frodi
  • Privacy e Market abuse
  • Privacy e 231/2001
  • Privacy e Circolare 285

Secondo modulo

PRIMO GIORNO

Identikit del Data Protection Officer in banca

  • Posizionamento organizzativo, requisiti personali e professionali, individuazione e designazione, formazione continua
  • Doveri, poteri, responsabilità e verifica di possibili conflitti di interesse e/o incompatibilità
  • La figura del DPO nell’ambito dei Comitati Data Protection delle banche
  • Il DPO in un gruppo bancario e l’ipotesi di esternalizzazione
  • La certificazione professionale

 I rapporti del DPO con le diverse funzioni della banca e con l’Autorità Garante per la protezione dei dati personali

  • Il DPO come punto di contatto con l’autorità di controllo, la consultazione di propria iniziativa e la cooperazione
    su richiesta
  • I rapporti con le diverse funzioni della banca
  • L’attività di informazione, consulenza e indirizzo nei confronti del titolare o responsabile del trattamento
  • L’attività di supervisione delle «figure privacy» interne alla banca

Esercitazione guidata - La verifica delle attività poste in essere dalla banca richieste dall’autorità di controllo

Il piano di implementazione «protezione dei dati personali» per la gestione del GDPR

  • Gli strumenti per attuare l’implementazione del GDPR e per la conformità su misura
  • Analisi e mappatura dei processi in banca
  • La privacy by design e by default in pratica
  • Esempi di policy interna per l’implementazione del GDPR

Esercitazione guidata - La protezione dei dati sin dalla progettazione di un prodotto bancario

 

SECONDO GIORNO

Il sistema documentale data protection previsto dal nuovo Regolamento Europeo

  • Il sistema documentale come strumento di accountability
  • I registri
  • I documenti di attestazione
  • Le liste dei soggetti al trattamento dei dati
  • Audit report e verifiche compliance in ambito privacy

L’attività di vigilanza del DPO sul sistema documentale data protectione la conservazione dei documenti

L’approccio basato sul rischio per la data protection: aspetti organizzativi e procedurali

  • Risk data protection: determinazione, valutazione e approccio risk based
  • Individuazione delle aree bancarie ad altro rischio
  • Analisi dei trattamenti di dati personali della banca
  • Aree da sottoporre ad audit

Esercitazione guidata - Il risk assessment data protection

 

TERZO GIORNO

La valutazione di impatto sulla protezione dei dati (DPIA)

  • La data protection impact analysis (DPIA) per acquisire una visione chiara e completa dei trattamenti dei dati personali
    e garantire la conformità ai principi del GDPR
  • L’autorizzazione preventiva e la consultazione preventiva
  • Come condurre una DPIA: scelta della metodologia
  • La gestione dei rischi derivanti da potenziali violazioni al trattamento dei dati
  • Partecipazione del DPO alle procedute di valutazione di impatto sulla protezione dei dati
  • Vigilanza del DPO sulla procedura di valutazione

Esercitazione guidata - La valutazione del DPO sulla conduzione della data protection impact analysis

Terzo modulo

PRIMO GIORNO

I sistemi informativi della banca: le conoscenze e competenze del DPO in ambito IT

  • L’infrastruttura tecnologica in banca e il posizionamento dei dati nei sistemi informativi
  • Mappatura e controllo dell’architettura ICT della banca
  • L’analisi dei file di registro dei dati

I sistemi applicativi per lo svolgimento dell’attività bancaria

  • Gli applicativi per la gestione amministrativa in banca e il monitoraggio dei dati
  • Gli applicativi per la gestione dei dati nei sistemi di pagamento, nella finanza e nel credito
  • I sistemi esterni

I canali per l’accesso ai servizi della banca da parte della clientela

  • L’accesso all’home banking e corporate banking: i dati sensibili e loro trattamento
  • ATM (automatic teller machine) e POS (point of sales)
  • Tecniche di Strong Authentication e le novità della Direttiva PSD2 e della Direttiva eIDAS

L’utilizzo delle nuove tecnologie in banca e i principi per il trattamento dei dati

  • Cloud computing
  • Smart contract
  • L’identità digitale
  • Big data privacy
  • I modelli Blockchain

Data protection e data governance

Esercitazione guidata

  • L’individuazione del posizionamento dei trattamenti all’interno dell’architettura ICT della banca
  • Quali domande porre alla funzione IT per ricavare le informazioni necessarie sulla mappatura dei trattamenti
  • L’individuazione delle aree a maggior rischio per la tutela degli interessati

 

SECONDO GIORNO

Sicurezza dei dati personali e sistemi bancari

  • Le disposizioni europee e nazionali in materia di sicurezza dei dati e di reati informatici
  • L’evoluzione del quadro normativo in tema di cybersecurity
  • L’Amministratore di sistema nel nuovo Regolamento Europeo

Misure tecnico-organizzative per la sicurezza dei dati

  • Misure organizzative e tecniche di custodia e controllo dei dati
  • Sistemi di autenticazione e autorizzazione informatica
  • Tracciamento e controlli degli accessi ed operazioni

Analisi dei rischi sul trattamento dei dati

  • Analisi delle minacce e delle vulnerabilità che insistono sugli asset sulle informazioni e dati aziendali
  • Analisi dei rischi per la sicurezza dei dati
  • Pianificazione delle misure di rimedio

Strumenti per la sicurezza

  • Strumenti per la protezione di infrastrutture
  • Anonimizzazione: tecniche di randomizzazione e generalizzazione
  • Pseudonimizzazione: tecniche di crittografia, di hashing, di tokenizzazione

Data breach in pratica

  • Regole di data mining per la rilevazione delle anomalie, tecniche di investigation per l’analisi delle violazioni
  • Come identificare le violazioni da notificare
  • Il processo di notificazione data breach

Esercitazione guidata - L’attuazione delle misure di sicurezza dei dati personali: un’attività progressiva:

  • l’applicazione delle misure di sicurezza «minime», «necessarie» e «opportune»
  • l’analisi dei rischi per l’identificazione delle misure di «sicurezza adeguate» per la protezione dei trattamenti
  • la valutazione di impatto in caso di rischio elevato e la determinazione delle ulteriori di «sicurezza adeguate»
    di protezione