
La certificazione ISO ed il GDPR
30 Gennaio 2020
Perché certificarsi ISO 27001 è utile anche per gestire gli adempimenti in materia GDPR?
Sono molti i punti di contatto tra le due norme, in particolare, entrambe si assicurano che venga rispettato il “RID”:
- l’accesso protetto e controllato ai dati, a garanzia della confidenzialità delle informazioni trattate (proprietà di riservatezza) → R
- la consistenza dei dati, intesa come completezza e correttezza degli stessi (proprietà di integrità) → I
- l’accesso ai dati nei tempi e nei luoghi previsti (proprietà di disponibilità) → D
La norma iso 27001 certifica quelle aziende che mettono in atto tutta una serie di prassi e procedure che hanno come obiettivo la Sicurezza delle informazioni; in effetti questo obbiettivo è in comune con quanto previsto dal GDPR, soprattutto quando si parla misure di sicurezza informatiche.
In effetti il punto di contatto tra i due sistemi di gestione riguarda l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
La maggior parte delle informazioni legate alle organizzazioni (siano esse aziende, strutture sanitarie, scuole, alberghi, studi di consulenza etc) sono gestite e salvate tramite supporti informatici. Questo crea una situazione di grande rischio.
In sostanza i passaggi sono:
- Le mie informazioni sono conservate su supporti informatici
- i supporti informatici sono violabili – rischio!
- Devo mettere in atto strumenti difensivi per proteggere i miei dati
- Dimostro che i miei sistemi difensivi sono validi certificandomi
L’approccio basato sul rischio (risk- based approach) è coerente con quello di altre certificazioni oltre che essere affine con quanto richiesto dal GDPR: analizzare i rischi legati alla possibile perdita di dati e mettere in atto soluzioni idonee e sufficienti a garantirne la tutela.
Avere una certificazione iso 27000 è dunque un’ottima attestazione che dimostra la volontà dell’organizzazione di strutturare un sistema di gestione basato sul principio di protezione dei dati e delle informazioni e senza dubbio può essere un supporto all’integrazione del sistema di gestione Privacy.
Inoltre la norma iso 27001 al punto di controllo 18.1.4 prevede:
“Si dovrebbero assicurare la privacy e la protezione dei dati personali, come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile”
A fronte di quanto sopra riportato, essere compliance al GDPR è obbligatorio se si vuole ottenere la certifica; non possiamo dire la stessa cosa del contrario, ma la combinazione dei due sistemi permetterà una gestione ottimale di tutti i processi aziendali.
- Mary Manna -