La certificazione ISO ed il GDPR

La certificazione ISO ed il GDPR

La certificazione ISO ed il GDPR

Perché certificarsi ISO 27001 è utile anche per gestire gli adempimenti in materia GDPR?

Sono molti i punti di contatto tra le due norme, in particolare, entrambe si assicurano che venga rispettato il “RID”:

  • l’accesso protetto e controllato ai dati, a garanzia della confidenzialità delle informazioni trattate (proprietà di riservatezza) → R
  • la consistenza dei dati, intesa come completezza e correttezza degli stessi (proprietà di integrità) → I
  • l’accesso ai dati nei tempi e nei luoghi previsti (proprietà di disponibilità) → D

La norma iso 27001 certifica quelle aziende che mettono in atto tutta una serie di prassi e procedure che hanno come obiettivo la Sicurezza delle informazioni; in effetti questo obbiettivo è in comune con quanto previsto dal GDPR, soprattutto quando si parla misure di sicurezza informatiche.

In effetti il punto di contatto tra i due sistemi di gestione riguarda l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

La maggior parte delle informazioni legate alle organizzazioni (siano esse aziende, strutture sanitarie, scuole, alberghi, studi di consulenza etc) sono gestite e salvate tramite supporti informatici. Questo crea una situazione di grande rischio.

In sostanza i passaggi sono:

  1. Le mie informazioni sono conservate su supporti informatici
  2. i supporti informatici sono violabili – rischio!
  3. Devo mettere in atto strumenti difensivi per proteggere i miei dati
  4. Dimostro che i miei sistemi difensivi sono validi certificandomi

 

L’approccio basato sul rischio (risk- based approach) è coerente con quello di altre certificazioni oltre che essere affine con quanto richiesto dal GDPR: analizzare i rischi legati alla possibile perdita di dati e mettere in atto soluzioni idonee e sufficienti a garantirne la tutela.

Avere una certificazione iso 27000 è dunque un’ottima attestazione che dimostra la volontà dell’organizzazione di strutturare un sistema di gestione basato sul principio di protezione dei dati e delle informazioni e senza dubbio può essere un supporto all’integrazione del sistema di gestione Privacy.

 

Inoltre la norma iso 27001 al punto di controllo 18.1.4 prevede:

 

Si dovrebbero assicurare la privacy e la protezione dei dati personali, come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile

 

A fronte di quanto sopra riportato, essere compliance al GDPR è obbligatorio se si vuole ottenere la certifica; non possiamo dire la stessa cosa del contrario, ma la combinazione dei due sistemi permetterà una gestione ottimale di tutti i processi aziendali.