92779 - CYBERSECURITY AZIENDALE E PROTEZIONE DEI DATI

Conoscenze e abilità da conseguire

L'obiettivo dell’insegnamento “Cybersecurity aziendale e protezione dei dati” è guidare lo studente all'integrazione dei saperi maturati nel corso di studi attraverso metodi di docenza condivisa, per fornire abilità in ordine alla applicazione delle conoscenze acquisite a contesti specifici della realtà giuridico-aziendale. Per perseguire questo obiettivo il corso sviluppa un percorso fortemente multidisciplinare sul tema della sicurezza delle informazioni e della protezione dei dati in ambito aziendale, tema che viene affrontato negli otto moduli da angolazioni diverse: i metodi e gli strumenti della sicurezza informatica nei luoghi di lavoro, la gestione della documentazione e la tutela delle informazioni aziendali, il controllo tecnologico, la tutela della vita digitale del lavoratore, la tutela penale, il whistleblowing e l'etica dei dati. Al termine del corso gli studenti saranno in grado sia di conoscere gli istituti fondamentali della sicurezza e della protezione dei dati e sia di comprendere la soluzione di casi concreti. Gli obiettivi didattici vengono perseguiti attraverso l’analisi di scenari applicativi, quesiti pratici, materiale giurisprudenziale offerti dalla attuale realtà giuridico aziendale e lasciando spazio opportuno alla risoluzione di dubbi e all'analisi di questioni direttamente sollevate dagli studenti, al fine di incentivare la loro partecipazione attiva e la loro riflessione critica. Tutto questo garantisce agli studenti di orientarsi con cognizione di fronte ai temi giuridici e informatici, sviluppando altresì competenze operative nella individuazione delle specifiche norme applicabili alla risoluzione delle fattispecie concrete esemplificate, e di relazionarsi con competenza ai sistemi informatici di imprese ed enti pubblici.

Contenuti

L’attività didattica è organizzata in otto moduli didattici, con specifici obiettivi nel quadro generale della Cybersecurity e della protezione dei dati.

Ciascun modulo, della durata di sei ore, è suddiviso in una parte di inquadramento delle questioni principali e una parte di esercitazioni pratiche (si veda sezione Metodi didattici).

La partecipazione alle attività (lezioni e esercitazioni) è fortemente raccomandata.

Modulo 1 - Cybersecurity: principi e metodologie.

Il modulo introduce i principi e le metodologie per proteggere con misure organizzative e tecniche il patrimonio informativo aziendale (infrastrutture, informazioni strategiche, dati personali) e reagire in modo corretto ai data breach.

Questioni principali

• Attaccanti, metodologie di attacco, scenari di vulnerabilità
• Analisi e statistiche di incidenti informatici in ambito aziendale
• Valutazione e gestione del rischio informatico
• Misure organizzative e tecniche per la prevenzione, rilevazione e ripristino dei sistemi informatici: il framework NIST

Esercitazioni pratiche

• Regole di cyber igiene
• Redazione di una policy di cybersecurity per i contesti aziendali

Modulo 2 - Dati personali: diritti e tutele dell’interessato

Il modulo offre allo studente un panorama generale della disciplina privacy, dal punto di vista di colui cui appartengono i dati personali e di colui che tratta i dati. Il modulo si apre ripassando ed approfondendo le nozioni basilari, già trattate nel corso di Informatica giuridica, per poi esaminarne l’applicazione negli adempimenti privacy in azienda.

Questioni principali

• Cosa sono i dati personali e perché vengono protetti; quali sono i trattamenti di dati
• I diritti dei soggetti cui appartengono i dati: accesso, informazione, “controllo” dei dati; le basi giuridiche del trattamento; le condizioni di liceità del trattamento
•  Compiti, doveri e responsabilità di chi tratta i dati personali; le figure coinvolte
•  Sanzioni e conseguenze: le “misure diverse” e l’impatto sull’attività aziendale; il risarcimento del danno
•  Adempimenti privacy in azienda

Esercitazioni pratiche

• Casi di studio: analisi e commento
• Adempimenti privacy in azienda: l’informativa

Modulo 3 - Il controllo tecnologico in azienda e la protezione dei dati

Il modulo affronta l’analisi del quadro giuridico-applicativo in materia di esercizio del potere di controllo tecnologico in azienda e trattamento dei dati personali dei lavoratori e analizza le problematiche collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative.

Questioni principali

• Il potere datoriale di controllo a distanza e i suoi limiti. Il divieto di controllo occulto;
• Il controllo tecnologico tramite gli strumenti di lavoro e gli strumenti di registrazione delle presenze. Sistemi di geolocalizzazione, dispositivi indossabili e rilevazioni biometriche;
• Il monitoraggio aziendale sull’uso delle risorse digitali: internet e posta elettronica al lavoro;
• Il controllo datoriale sull’uso dei social network da parte del lavoratore;
• Tecnologie e contesto pandemico: il monitoraggio dei dipendenti ai fini di contrasto del contagio.

Esercitazioni pratiche

• Selezione di casi di studio e approccio dello studente alla risoluzione di un caso concreto;
• Redazione di un’informativa individuale sulle modalità d’uso degli strumenti tecnologici e sull’effettuazione dei controlli in azienda.

Modulo 4 - Gestione della cybersicurezza: il ruolo del giurista in azienda

Il modulo affronta l’analisi del quadro giuridico-applicativo in materia di cybersicurezza, con particolare riferimento ai contesti aziendali e al ruolo dell’operatore del diritto nei nuovi scenari.

Questioni principali

• Nozione di rischio nel quadro normativo comunitario in materia di protezione dei dati personali e di cybersicurezza
• La valutazione d'impatto sulla protezione dei dati (data protection impact assessment)
• La direttiva NIS2
• Il Perimetro di Sicurezza Nazionale Cibernetica
• I diversi obblighi di notifica di incidente in materia di protezione dei dati e di cybersicurezza

Esercitazioni pratiche

Analisi e notifica di databreach

Esercitazione: notifica di incidenti di cybersicurezza (PSNC)

Modulo 5 - Sicurezza dei dati e tutela penale.

Il modulo effettua una ricognizione degli strumenti predisposti dall’ordinamento penale per una tutela degli interessi fondamentali potenzialmente offesi dall’uso distorto o dell’abuso dei mezzi informatici: domicilio informatico, riservatezza, interessi economici dell’impresa.

Questioni principali

• Danneggiamento di dati e sistemi

• La violazione della corrispondenza

•  L’ accesso abusivo ai sistemi informatici.

Esercitazioni pratiche

• Selezione di casi di studio e approccio dello studente alla risoluzione di un caso concreto.
• Esame delle principali questioni applicative

Modulo 6 - Whistleblowing e tutela del dipendente.

ll modulo illustra i punti essenziali della disciplina vigente in materia di whistleblowing, la tutela garantita dall’ordinamento al dipendente che segnala illeciti o irregolarità di cui è venuto a conoscenza per motivi di lavoro (tutela contro eventuali atti ritorsivi, nullità del licenziamento discriminatorio ecc.) e il sistema disciplinare.

Questioni principali

• Nozione di whistleblowing e principali tutele garantite al dipendente che denuncia l’irregolarità (dlgs n. 24/2023)
• Problemi applicativi: es. diritto di difesa dell’incolpato, garanzia dell’anonimato del denunciante ecc.

Esercitazioni pratiche

• Selezione di casi relativi all’applicazione della disciplina del whistleblowing e la risoluzione guidata, da parte degli studenti, di un caso concreto.

Modulo 7 - Data Ethics

 Etica, Big data e tutela dei diritti fondamentali. Intelligenza artificiale e Big data: principi, diritti e raccomandazioni

• Conflitti, obblighi e responsabilità morali fra interessi pubblici e interessi privati
• Gestione dei processi decisionali tra stakeholders, società e quadro normativo vigente
• Analisi di policy, linee guida e casi rilevanti

Questioni principali

• Big data e Business ethics
• Big data e intelligenza artificiale: principi etici e tutela dei diritti dell'interessato
• Responsabilità e obblighi morali
• Conflitti morali fra interessi pubblici e interessi privati
• Gestione dei processi decisionali tra stakeholders, società e quadro normativo vigente
• Analisi di policy, linee guida e casi rilevanti

Esercitazioni pratiche

• Analisi di casi di studio e discussione sulle strategie risolutive da applicare.
• Esame delle criticità circa le soluzioni adottate utilizzando i principali costrutti morali.

Modulo 8 - Tutela delle informazioni aziendali e tecnologie digitali

Il modulo fornisce un quadro delle nozioni di informazione aziendale riservata, di segreto commerciale e di know how e dei requisiti di tutela alla luce del recente d.lgs 63/2018 (attuazione della Dir. UE 2016/943) che impone all’imprenditore che voglia invocare la tutela giuridica del segreto di adottare di “adeguate misure di sicurezza.

Questioni principali

• La nozione giuridica di informazione segreta e di know-how
• il concetto di “protezione adeguata”
• le principali forme di protezione tecnologica e organizzativa nella prassi aziendale

Esercitazioni pratiche

• Selezione di casi di studio tratti dalla giurisprudenza italiana in materia e un approccio dello studente alla risoluzione di un caso concreto.

Al termine del corso gli studenti saranno in grado sia di conoscere gli istituti fondamentali della sicurezza informatica e della protezione dei dati e sia di comprendere la soluzione di casi concreti, acquisendo le conoscenze e le competenze fondamentali per:

• approcciarsi in modo corretto alla sicurezza informatica in azienda e prepararsi a rispondere, come operatori del diritto, ai databreach
• gestire in modo corretto la tutela dei dati personali trattati da e per l’azienda
• gestire in modo corretto il controllo a distanza sull’organizzazione del lavoro e le problematiche collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative
• gestire in modo corretto la documentazione aziendale nell’ambiente digitale
• affrontare le problematiche con risvolti penali collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative
• comprende l’impatto della disciplina del whistleblowing, anche in termini di sanzioni, e mettere in atto le necessarie tutele del dipendete
• individuare e gestire problematiche etiche connesse all’uso dei dati nell’esercizio della professione
• affrontare le problematiche tecnologiche collegate alla tutela del segreto aziendale.

 

Testi/Bibliografia

Materiali didattici (slide, filmati, esercitazioni interattive) caricati sulla piattaforma Virtuale.

Metodi didattici

L'insegnamento aderisce alla sperimentazione  a.a. 2023/24 per l'innovazione didattica.

Gli obiettivi didattici vengono perseguiti attraverso l’analisi di scenari applicativi, quesiti pratici, materiale giurisprudenziale offerti dalla attuale realtà giuridico aziendale e lasciando spazio opportuno alla risoluzione di dubbi e all'analisi di questioni direttamente sollevate dagli studenti, al fine di incentivare la loro partecipazione attiva e la loro riflessione critica. Tutto questo garantisce agli studenti di orientarsi con cognizione di fronte ai temi giuridici e informatici, sviluppando altresì competenze operative nella individuazione delle specifiche norme applicabili alla risoluzione delle fattispecie concrete esemplificate, e di relazionarsi con competenza ai sistemi informatici di imprese ed enti pubblici.

Ciascun modulo didattico comprende oltre all’inquadramento delle questioni principali esercitazioni pratiche, che riguardano in particolare: l’analisi di casi di studio e la discussione delle strategie risolutive, la redazione di informative sulle modalità d’uso degli strumenti tecnologici e sull’effettuazione dei controlli in azienda, la redazione di informativa privacy aziendale e di notifiche di databreach, le misure di sicurezza informatica individuali (crittografia, cancellazione sicura, attenzione al phishing, ecc).(Si veda la sezione Programmi/Contenuti).

Modalità di verifica e valutazione dell'apprendimento

L'esame finale si svolge in forma scritta e consiste in un test a risposta multipla composto da quattro domande per ciascun modulo.

criteri di valutazione

Il test consiste di 32 domande a risposta multipla (quattro per ogni modulo) ed il punteggio assegnato è di +1 se la risposta è esatta e 0 se sbagliata o assente. Il tempo a disposizione è di 40 minuti. Durante la prova non è ammesso l'uso di materiale di supporto quale libri di testo, appunti, supporti informatici. La prova si intende superata con un punteggio minimo di 18/30.

 

L’iscrizione alla prova dovrà essere effettuata mediante l’applicativo Almaesami (https://almaesami.unibo.it/almaesami/welcome.htm)

È necessaria l'iscrizione preventiva su Almaesami e, in caso di rinuncia, la cancellazione nei tempi previsti per consentire una corretta organizzazione dell'appello.

Esame frequentanti

Studentesse e studenti frequentanti saranno coinvolti in esercitazioni di gruppo e individuali, analisi e discussioni di casi, per cui la partecipazione alle lezioni è fortemente raccomandata.

Coloro che  parteciperanno alle esercitazioni proposte da ciascun docente, avranno un bonus  sul voto finale di 0,5 punti per ogni modulo in cui risulteranno idonei (se decimale, il voto finale sarà calcolato per troncamento). 

 

 

 

Strumenti a supporto della didattica

Slide a supporto delle lezioni, articoli, software di utilità generale, link a risorse pubbliche sul web e schemi saranno disponibili on line.

Orario di ricevimento

Consulta il sito web di Raffaella Brighi

Consulta il sito web di Annalisa Atti

Consulta il sito web di Anna Rota

Consulta il sito web di Pier Giorgio Chiara

Consulta il sito web di Silvia Tordini Cagli

Consulta il sito web di Chiara Bologna

Consulta il sito web di Silvia Zullo

Consulta il sito web di Anna Maria Toni