(S154-25) PRIVACY E SICUREZZA DEI DATI PERSONALI IN PRESENZA E NELLO SMART WORKING

PROGRAMMA:

Quadro normativo: Il Regolamento UE 2016/679 (GDPR), il d.lgs.196/2003 dopo le modifiche del d.lgs. 101/2018, la legge 124/2015 (legge Madia), la legge 81/2017 direttive e linee guida della Funzione Pubblica, la Legge 300/1970.

I principi fondamentali del trattamento dei dati personali: liceità, limitazione delle finalità, minimizzazione, necessità, proporzionalità e pertinenza, limitazione della conservazione, esattezza e trasparenza del trattamento;

Le tipologie di dati: personali, particolari (sensibili), giudiziari, i dati relativi allo stato di salute, il presupposto per il trattamento dei dati personali e per i dati particolari e giudiziari nella PA nei confronti dei cittadini e dei dipendenti, la comunicazione e la diffusione dei dati personali, la pubblicazione di dati personali sui siti di Amministrazione Trasparente, Albo Pretorio e Portali Istituzionali: limiti ed elementi fondamentali da considerare;

L’importanza dell’individuazione puntuale dei ruoli nel trattamento dei dati: Il titolare del trattamento, il responsabile, i soggetti autorizzati al trattamento e la figura del Data Protection Officer;

L’accountability: da un approccio normativo prescrittivo ad uno basato sulla responsabilizzazione dei soggetti, la figura fondamentale del Titolare del Trattamento e l’individuazione dei centri di decisione. Come può il Titolare dimostrare l’adempimento dei requisiti del GDPR. L’accountability nella PA e la conseguente attribuzione di responsabilità in casistiche concrete di sentenze e casi d’uso.

La Privacy by Design e Privacy by Default: I requisiti fondamentali di progettazione dei trattamenti e le impostazioni predefinite.

Il lavoro agile e le nuove tecnologie: Le tecnologie come strumento abilitante del lavoro agile e la relazione con il principio digital first di ridefinizione e semplificazione dei procedimenti amministrativi.

Il lavoro agile ed i rischi per i dati personali di cittadini e dipendenti: la mitigazione attraverso l’analisi e la reingegnerizzazione dei processi, le misure organizzative e le soluzioni tecnologiche

Formazione, autorizzazioni ed individuazione dei responsabili del trattamento:la formazione dei dipendenti e l’autorizzazione al trattamento dei dati personali, l’individuazione dei soggetti esterni come responsabili del trattamento nei rapporti contrattuali: la necessità di fornire istruzioni precise per il trattamento e le responsabilità consequenziali.

La prestazione lavorativa in modalità agile, l’accesso alle banche dati ed alla intranet della PA: le connessioni extranet 3 possibili approcci: Virtual Private Network (VPN), Remote Desktop Services (RDS), Virtual Desktop Infrastructure (VDI), le autenticazioni a fattore multiplo. I rischi per i dati personali nei vari approcci.

Il Lavoro agile e le soluzioni cloud: Saas, Iaas e PaaS, i rischi per i dati personali e le responsabilità dei fornitori, l’importanza delle clausole contrattuali.

Gli strumenti di collaboration: i sistemi di videoconferenza e call conference e messaggistica: quali sono i rischi.

Breve vademecum per i dipendenti pubblici per la sicurezza delle proprie postazioni di lavoro e dei propri dati.

Rischi e misure mitigatrici nell’attività quotidiana dei dipendenti con particolare riguardo al lavoro agile: I rischi della posta elettronica, della navigazione in rete ed i principali tipi di attacco informatico, phishing, malware, virus, rootkit, cavalli di troia, malware spia (Spyware e keylogger), malware che ingannano (scareware/roguaware), malware che ricattano: i ransomware.

Gli attacchi ai servizi:

– il denial of service (DoS),

– il distributed denial of service (DDoS).

Le principali misure a livello delle singole postazioni:

– l’uso di antivirus e antispyware,

– hardening delle postazioni,

– uso consapevole della mail, del web e, in generale, degli strumenti informatici.

Esempi di differenti approcci per i prodotti antiransomware.

Il coworking ed il bring your own device: nuovi scenari e nuovi rischi.

l’importanza delle linee guida e delle prassi da diffondere tra i dipendenti, il vademecum di AGID per i dipendenti per lavorare online in sicurezza, integrato con altre buone pratiche delle principali aziende competenti in materia di sicurezza informatica.

L’uso dei dispositivi di proprietà del dipendente o forniti dall’amministrazione: cosa cambia nelle due casistiche per la protezione dei dati personali dei dipendenti e dei cittadini e gli approcci risolutivi.

I criteri di scelta di una soluzione antivirus e/o antimalware nelle due casistiche di dispositivo di proprietà del dipendente e dispositivo fornito dall’amministrazione.

Il controllo a distanza dei dipendenti in lavoro agile: la Legge 300/1970 le condizioni per l’impiego degli strumenti che implicano un potenziale controllo a distanza dell’attività dei lavoratori e le pronunce del Garante per la Protezione dei dati Personali in merito.

Il lavoro agile e la revisione delle disposizioni di una PA (regolamenti, circolari, direttive, ecc.) per l’uso delle strumentazioni informatiche e dei dispositivi mobili e le informative ai dipendenti sulle modalità di controllo della spesa per i dispositivi mobili.

Le novità del Codice dell’Amministrazione digitale sull’uso dei dispositivi personali per il lavoro agile e la protezione dei dati dopo il decreto semplificazioni (DL 76/2020 convertito dalla L. 120/2020): la diffusione di linee guida, la disciplina dell’uso di webcam e microfoni l’informazione ai dipendenti ed alle organizzazioni sindacali.