GDPR e intelligenza artificiale: la protezione dei dati nell’era della società digitale
A quasi un anno dall’entrata in vigore del Reg. Ue 679/2016, “è giunto il momento di interrogarsi sul futuro del trattamento dei dati personali”. Lo ha detto il Commissario dell’Autorità per le Garanzie nelle Comunicazioni, Antonio Martusciello, intervenuto alla presentazione della Rivista “Diritto ed Economia dei Mezzi di Comunicazione”. Nell’era della Big data economy, la protezione dei dati personali deve, come peraltro si sta gradualmente verificando con l’ingresso del GDPR, trasferirsi da un’impostazione formalistica a una sostanzialistica. Il dato non può restare “lettera morta” su carta, ma deve essere materia vivida, risorsa nonché presupposto indefettibile per libertà fondamentali e Stato di diritto. Ma non è tutto. Così come abbiamo già anticipato su questo portale, il trattamento dei dati personali non deve avere scopi puramente cautelativi, ma può e deve essere risorsa per il business dell’impresa.
Rischi per le libertà dell’individuo
Sullo stato di attuazione del Regolamento europeo, Martusciello continua a manifestare qualche perplessità: “Su alcune materie come ad esempio l’esercizio del diritto alla portabilità dei dati – dice – è necessario che le autorità di regolamentazione di settore e di controllo intervengano per meglio definire le modalità di attuazione delle norme poste dal Gdpr, collaborando con gli operatori”. Secondo Martusciello, “non si possono trascurare i rischi connessi all’utilizzo dei sistemi di Big Data Analysis, di forme massive di profilazione dei comportamenti singoli e collettivi”.
L’applicazione del GDPR deve tenere conto dell’evoluzione di tecnologie e processi della società digitale
In buona sostanza il trattamento informatizzato dei dati deve supportare il principale fine di tutela della libertà delle persone fisiche. Ed è, questa, un’osservazione che ci sentiamo di condividere in pieno. In effetti, occorre sviluppare, così come nella filosofia digital 4.0 perseguita da Selefor, un sistema di gestione intelligente del dato che vada oltre l’attuale nozione di “dato personale”. La chiosa di Martusciello sulla cybersecurity è certamente condivisibile. In effetti bisogna promuovere un approccio multidisciplinare da parte di istituzioni e autorità di controllo. Se da un lato è necessario vigilare sull’attuazione del Regolamento Europeo dall’altro è fondamentale studiare l’evoluzione delle tecnologie e dei processi nell’era della società digitale.
L’adeguamento al GDPR: non solo la “compliance”. Il dato è risorsa per il business
Selefor segue, nell’adeguamento alla privacy, aziende nazionali e multinazionali, operando nel settore ai massimi standard professionali, tramite – in tutte le sue fasi – un team costituito da esperti che possono vantare un’esperienza e una competenza, comprovate negli anni, nella consulenza privacy e nell’organizzazione e gestione del dato. Selefor ha aiutato anche piccole e medie imprese in tutti gli adempimenti necessari al raggiungimento della compliance richiesta dalla normativa europea, in osservanza anche di quanto stabilito dalle recenti linee guida pubblicate dal Garante della Privacy sul proprio sito.
Il modello di adeguamento ideato e messo in pratica da Selefor è commisurato alle esigenze del cliente e segue un iter volto alla realizzazione della conformità in tutti i suoi aspetti, attraverso le seguenti fasi:
Fase 1: analisi (audit) del contesto aziendale;
Fase 2: adeguamento della modulistica (tra cui redazione del Registro dei trattamenti);
Fase 3: formazione del personale coinvolto nel trattamento dei dati;
Fase 4: verifiche periodiche.
La finalità del PAG SELEFOR non è esclusivamente connessa al tema “compliance aziendale GDPR”, ma si pone come ulteriore obiettivo quello di istruire il cliente al metodo data economy ovverosia fornire una metodologia organizzativa che – così come richiesto nell’era digital 4.0 – diventi leva competitiva per il business dell’impresa. In buona sostanza, il valore aggiunto del PAG SELEFOR è costituito proprio dalla digitalizzazione del dato. In tal guisa, il comitato scientifico Selefor DPE (Team data protection expert) ha contemperato la sfera giuridica e quella tecnico informatica. Infatti, la gestione intelligente del dato consente di abbattere notevolmente operatività e costi di produzione permettendo dunque al fruitore di “evolversi” da una posizione di svantaggio a una di vantaggio in chiave di digital disruption. In particolare, la Digital Industry 4.0 o l’Internet delle cose in ambito aziendale, è costituita da prodotti intelligenti e interconnessi che comunicano con gli utenti sulla base delle loro peculiari esigenze. Si sfrutta, pertanto, il prodotto per venire incontro all’individuo. Sono nuovi modelli di business che sfruttano il dato per offrire ulteriori servizi secondo la formula “as-a-service”. Ecco come si crea una “catena di valore” completamente digitale.
In definitiva occorre ribadire che il Piano di adeguamento Selefor non è utile solo ad evitare sanzioni amministrative a fronte di un’ispezione del nucleo speciale privacy della Guardia di Finanza, ma è altresì funzionale a trasmettere un metodo di gestione intelligente e funzionale del dato, un vero e proprio “data know-how” che diventa, come anticipato in premessa, opportunità di crescita. E’ questo il valore aggiunto di chi approccia al tema protezione dei dati perseguendo non unicamente fini cautelativi. Il dato può e deve essere risorsa. Il futuro è adesso!
La privacy… in pratica! Piano di adeguamento Selefor e metodo “data economy” per figure professionali UNI 11697
CORSO DI AGGIORNAMENTO PER I SOGGETTI OPERANTI NELL’AMBITO DEL TRATTAMENTO DEI DATI PEROSONALI UNI 11697:2017
La privacy in… pratica!
Il comitato tecnico scientifico Selefor DPE (Data protection expert) ha predisposto un innovativo corso di aggiornamento per tutte quelle figure professionali riconosciute dalla norma UNI 11697:2017 (valutatori privacy, specialisti privacy, manager privacy e data protection officer).
Il corso viene incontro alle esigenze “pratiche” del professionista della protezione dei dati personali, cui è demandata non solo una profonda conoscenza delle norme nazionali e comunitarie, ma anche una competenza pratica concernente le attività di adeguamento, le procedure (anche tecnico-informatiche), l’analisi dei flussi di dati, gli audit di processo e la formazione del personale aziendale.
Struttura del corso, durata e certificato finale ex norma UNI 11697:2017
Il corso di aggiornamento in quesitone è di 16 ore (due giornate formative da otto ore ciascuna), così come peraltro richiesto dalla sopracitata fonte, rilascia formale attestato di certificazione delle competenze ed è focalizzato sull’operatività del privacy consultant in azienda. Il 15 maggio 2019 cessa l’effetto della norma ex art. 20 d.lgs. n. 101/2018 che invita il Garante a tener conto, nella sua attività anche sanzionatoria, del periodo di prima applicazione del codice privacy novellato, articolo che – secondo autorevole dottrina – si estende anche alle sanzioni per violazioni del GDPR. Pertanto, saper predisporre, nonché diversificare a seconda dei contesti, un piano di adeguamento (nella fattispecie il PAG SELEFOR) è quantomai indispensabile per quei professionisti che intendono ampliare il raggio d’azione delle loro competenze per operare efficacemente in azienda.
Cos’è il “PAG SELEFOR” (Piano di adeguamento al GDPR)
Selefor segue, nell’adeguamento alla privacy, aziende nazionali e multinazionali, operando nel settore ai massimi standard professionali, tramite – in tutte le sue fasi – un team costituito da esperti che possono vantare un’esperienza e una competenza, comprovate negli anni, nella consulenza privacy e nell’organizzazione e gestione del dato. Selefor ha aiutato anche piccole e medie imprese in tutti gli adempimenti necessari al raggiungimento della compliance richiesta dalla normativa europea, in osservanza anche di quanto stabilito dalle recenti linee guida pubblicate dal Garante della Privacy sul proprio sito.
Il modello di adeguamento ideato e messo in pratica da Selefor è commisurato alle esigenze del cliente e segue un iter volto alla realizzazione della conformità in tutti i suoi aspetti, attraverso le seguenti fasi:
- Fase 1: analisi (audit) del contesto aziendale;
- Fase 2: adeguamento della modulistica (tra cui redazione del Registro dei trattamenti);
- Fase 3: formazione del personale coinvolto nel trattamento dei dati;
- Fase 4: verifiche periodiche.
Valore aggiunto del PAG SELEFOR e metodo “data economy”
La finalità del PAG SELEFOR non è esclusivamente connessa al tema “compliance aziendale GDPR”, ma si pone come ulteriore obiettivo quello di instillare nel discente il metodo data economy ovverosia fornire al professionista e, più in generale all’azienda, una metodologia organizzativa che – così come richiesto nell’era digital 4.0 – diventi leva competitiva per il business dell’impresa. In buona sostanza, il valore aggiunto del PAG SELEFOR è costituito proprio dalla digitalizzazione del dato. In tal guisa, il comitato scientifico Selefor DPE (Team data protection expert) ha contemperato la sfera giuridica e quella tecnico informatica. Infatti, la gestione intelligente del dato consente di abbattere notevolmente operatività e costi di produzione permettendo dunque al fruitore di “evolversi” da una posizione di svantaggio a una di vantaggio in chiave di digital disruption. In particolare, la Digital Industry 4.0 o l’Internet delle cose in ambito industriale, è costituita da prodotti intelligenti e interconnessi che comunicano con gli utenti sulla base delle loro peculiari esigenze. Si sfrutta, pertanto, il prodotto per venire incontro all’individuo. Sono nuovi modelli di business che sfruttano il dato per offrire ulteriori servizi secondo la formula “as-a-service”. Ecco come si crea una “catena di valore” completamente digitale.
L’aggiornamento normativo
Il D.lgs. n. 101/2018, pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018 e vigente a partire dal 19 settembre 2018, contiene le disposizioni per l’adeguamento della normativa nazionale al Regolamento UE 2016/679 (GDPR). Tale decreto legislativo aggiorna il D.lgs. n. 196/2003 (Codice Privacy), che rimane in vigore anche se molti articoli vengono abrogati o modificati sostanzialmente.
Tenendo conto di tale complesso quadro giurisprudenziale, il Corso di aggiornamento Selefor mira a fornire ai partecipanti gli strumenti concreti per operare nell’ambito della normativa privacy più recente, affrontando – come anticipato in premessa – sia aspetti teorici che operativi. Inoltre, saranno mostrate metodologie di audit e di rilevazione aziendale per condurre un adeguamento, conformemente a quanto sancito dalle novità introdotte dal D.lgs. n. 101/2018.
Potenziare le conoscenze e l’uso degli strumenti applicativi
La formazione Selefor ha l’obiettivo di potenziare e sviluppare le competenze possedute da chi, a vario titolo e nei diversi settori, si occupa in azienda del trattamento di dati personali. In particolare:
- Potenziare competenze tecnico professionali, sulla protezione dei dati personali e approfondire le conoscenze sulla normativa vigente e l’immediata e concreta trasferibilità sui diversi settori;
- Sviluppare competenze di progettazione, verifica e mantenimento di un sistema organizzato di gestione dei dati personali;
- Consolidare competenze nella gestione complessa di idonee misure di sicurezza finalizzate alla tutela e alla salvaguardia del patrimonio di dati ed informazioni che assicuri un elevato grado di sicurezza e riservatezza del dato;
- Misurare e documentare il livello di acquisizione delle conoscenze specialistiche.
Valore aggiunto del corso
Per le figure professionali riconosciute dalla norma UNI 11697:2017, il Corso è conforme ai dettami della predetta normativa ed è previsto il contestuale rilascio di attestato. Per le altre figure, invece, le competenze acquisite vengono riconosciute e certificate da Selefor in qualità di ente accreditato dalla Regione Campania nonché agenzia leader in Italia nella formazione dei Data Protection Officer (tra l’altro il corso DPO di Alta Formazione Manageriale è iscritto al n. 139 del Registro dei corsi qualificati CEPAS Società del Gruppo BUREAU VERITAS Italia S.p.A.). Altro valore aggiunto del Corso di aggiornamento Selefor è rappresentato da:
- il know how trasferito in sede di adeguamento, tramite la condivisione di modelli e strumenti operativi;
- la possibilità di seguire il corso in virtual classroom;
- il corpo docenti, costituito da personale altamente qualificato che lavora in ambito privacy in azienda;
- la possibilità per il partecipante di utilizzare uno strumento gestionale, come l’applicativo J-forma, non solo per la fase di iscrizione, ma anche per la condivisione di materiale didattico.
Programma didattico
Il programma didattico è sviluppato da un corpo docenti di altissimo livello professionale e incentrato su casi pratici, al fine di garantire un’immediata e piena trasferibilità sul lavoro e in relazione alle specifiche e concrete esigenze dei partecipanti al corso.
Selefor offre già corsi certificati Bureau Veritas, in linea con quanto richiesto dalla norma UNI 11697:2017, per le seguenti figure professionali:
- Specialista Privacy
- Valutatore Privacy
- Manager Privacy
- Data Protection Officer
Destinatari
Il corso è pensato per le figure che operano in ambito privacy:
- Valutatori Privacy;
- Specialisti Privacy;
- Manager Privacy;
- Responsabili Protezione dei dati (DPO)*;
- Consulenti che operano nel settore privacy;
- Referenti privacy aziendali;
- Autorizzati al trattamento all’interno delle aziende.
Alle figure dei punti 1-4 sarà rilasciato l’attestato di frequenza del corso di aggiornamento che consente di dimostrare l’assolvimento degli obblighi di cui alla norma UNI 11697:2017 al fine di poter accedere ai relativi esami di mantenimento della certificazione.
Alle figure indicate ai punti 5-7 sarà rilasciato attestato di frequenza del corso con certificazione di competenze.
* Come da norma UNI 11697:2017, si fa presente che per la figura del DPO le 16 ore di corso sono obbligatorie per poter accedere al sopraindicato esame annuale di mantenimento.
Moduli (otto ore per giornata)
- Modulo 1A (6 ore) – L’ADEGUAMENTO DELLA NORMATIVA NAZIONALE AL GDPR: ABROGAZIONI, MODIFICHE E NUOVE DISPOSIZIONI INTRODOTTE DAL D.LGS. N. 101/2018.
- MODULO 1B (2 ore) – il ruolo dell’autorizzato: istruzioni, compiti e RESPONSABILITà.
- MODULO 2 (8 ore) – COME RENDERE COMPLIANCE L’AZIENDA ALLA LUCE DEL D.LGS. N. 101/2018: PAG SELEFOR E METODO DATA ECONOMY.
L’avviamento di Selefor nel settore “formazione privacy e data protection”
Selefor ha formato oltre 130 Data protection officer tra dipendenti pubblici, dipendenti d’azienda e liberi professionisti e continua ad erogare, con cadenza mensile, corsi di alta formazione manageriale che definiscono il professionista della protezione dei dati riconosciuto dalla norma UNI 11697:2017. Il corso DPO di Alta Formazione Manageriale è iscritto al n.139 del registro dei corsi qualificati CEPAS, Società del Gruppo BUREAU VERITAS Italia S.p.A. Sono tre le principali garanzie di un corso certificato:
- Questo è il solo iter riconosciuto dall’ente cui fa richiamo il Garante per la protezione dei dati personali (ACCREDIA) per acquisire titolo e competenze del “Manager della Privacy”. ACCREDIA, com’è noto, ha deliberato l’accreditamento CEPAS per la certificazione (Norma UNI 11697:2017) dei professionisti operanti nel settore privacy. Grazie a questo riconoscimento, il professionista che sceglie di aderire al nostro percorso formativo, potrà ottenere una certificazione di competenza accreditata e riconosciuta a livello nazionale e internazionale.
- Superare l’esame finale di un corso certificato è un passaggio necessario per accedere al successivo esame di certificazione (che definisce il percorso di formazione).
- Un corso certificato garantisce un corpo docenti valutato e approvato dal medesimo ente di cui sopra (cui fa richiamo il Garante).
Per ulteriori informazioni su costi, promozioni e indice completo di questa “due giorni formativa”, chiama al 3512659199 oppure scrivi a sviluppo.privacy@selefor.it.
Privacy, partono i primi controlli: ecco le imprese coinvolte nel “Piano ispettivo 2019”
La Deliberazione del 14 febbraio 2019 del Garante per la protezione del dati personali non lascia spazio a interpretazioni. Non si può più tergiversare, fermo restando che il 15 maggio 2019 cessa l’effetto della norma ex art. 20 d.lgs. n. 101/2018 che invita il Garante a tener conto, nella sua attività anche sanzionatoria, del periodo di prima applicazione del codice privacy novellato, articolo che – secondo autorevole dottrina – si estende anche alle sanzioni per violazioni del GDPR. Tuttavia, il nucleo speciale privacy della Guardia di Finanza è in rampa di lancio: partono i nuovi controlli che coinvolgeranno le strutture pubbliche e private. In particolare, le realtà più impattate saranno istituti di credito, strutture sanitarie, sistema statistico nazionale (Sistan), Spid, telemarketing, carte di fedeltà e grandi banche dati pubbliche. Il Garante ha già fatto sapere che sono questi i settori su cui si concentreranno le prime ispezioni. In particolare, i soggetti verso i quali si concentreranno i primi controlli privacy saranno tutti coloro che trattano dati particolari ex art. 9 GDPR (curioso che la stessa autorità Garante sia tornata a parlare di “dati sensibili”, terminologia caduta in disuso dopo l’adozione del GDPR).
Privacy, ecco i controlli: ecco le imprese coinvolte nel Piano ispettivo 2019
La notizia è stata pubblicata sul sito del Garante il 25 marzo 2019. L’articolo riassume i contenuti della Deliberazione del 14 febbraio scorso. A bussare alla porta delle imprese e degli enti che trattano in maniera preponderante dati sensibili, così come si legge peraltro sul portale “informazione fiscale”, saranno gli esperti del Nucleo investigativo della Guardia di Finanza. I controlli riguarderanno in primo luogo:
- i trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici come da parere sul programma statistico nazionale del 20 ottobre 2015;
- trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
- trattamenti di dati personali effettuati da Istituti bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
- trattamenti di dati personali effettuati da società per attività di marketing;
- trattamenti di dati personali effettuati da Enti pubblici, con riferimento a banche dati di notevoli dimensioni;
- trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.
Occhio alle segnalazioni
I controlli deliberati dal Piano ispettivo valido fino al mese di giugno 2019 si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili.Come anticipato in premessa, l’attività ispettiva del Garante Privacy, operativamente posta in essere dalla Guardia di Finanza si concentrerà sia su imprese private che su enti pubblici, con particolare attenzione sul rispetto delle norme in materia di informativa e consenso. Occhio anche all’annoso tema concernente la “conservazione dei dati”. Infine, ci spiega il Garante, l’attività ispettiva sarà avviata anche a seguito di segnalazioni e reclami.