GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
ISO 27701, verso la standardizzazione dei sistemi di sicurezza


lunedì 18 novembre 2019
Avv. Gianni Dell’Aiuto





Le sempre maggiori istanze provenienti da più parti per la protezione dei dati, e la definitiva efficacia in tutta l’Unione Europea del GDPR, con la piena vigenza anche della sanzioni previste per le violazioni, hanno portato ad un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti.

L’Organizzazione Internazionale per la Standardizzazione (ISO) e la Commissione Elettrotecnica Internazionale (IEC) hanno infatti redatto uno standard di riferimento univoco e che potrà ben divenire forse a breve un’importante strumento per ogni azienda che voglia compiutamente adeguarsi e offrire i migliori livelli di protezione: l’ISO/IEC 27701. Ciò si pone altresì in linea con l’armonizzazione già imposta proprio dal GDPR, e non passi inosservato che, anche al di fuori dell’UE, molte nazioni si stanno adeguando a questo strumento in cui il principio dell’accountability, che sembra demandare tutto ad ogni singolo Titolare, pare porti i più verso linee di condotta uniformi, pur dando istruzioni operative forse meno che minime.

Sul punto non passa certo inosservato che il testo parla espressamente di Controller (titolare) proprio nello stesso senso del GDPR e, non in un solo punto si fa riferimento al PIMS (Privacy Information Management System) proprio per focalizzare l’attenzione sulla protezione dei dati.

Proprio in tal senso potrebbe ben collocarsi, a livello internazionale, la ISO 277001 che si pone come continuum della ISO 27001 e che permette l’implementazione di un sistema di gestione per la sicurezza del patrimonio delle informazioni aziendali. E dell’importanza e valore di informazioni e dati ne siamo tutti consapevoli. In tal senso la ISO 27701 si pone l’obiettivo di implementare proprio la già menzionata PIMS. Si tratta di un testo tecnico, abbastanza complesso ma che si caratterizza, come specificato nella parte introduttiva, indispensabile per la sua comprensione, per permettere che “una organizzazione che si conformi ai requisiti del documento produrrà una serie di evidenze formali che documentano come essa gestisce i dati personali. Queste evidenze possono facilitare gli accordi con i business partner laddove la gestione dei dati personali sia un aspetto rilevante per entrambi. Queste evidenze possono anche essere di ausilio nella relazione con altri stakeholder”. Un passo decisamente importante verso una completa accountability, specialmente al fine della certificazione dei trattamenti.

Troviamo poi, nel seguito della norma, importanti riferimenti ad alcuni capisaldi del GDPR, quali le condizioni per l’acquisizione del consenso, gli obblighi nei confronti degli interessati, privacy by design e by default e la condivisione e trasferimento dei dati, tutto nella prospettiva del Titolare e dei suoi obblighi. Anche la base legale per il trattamento è oggetto di attenzione.

ISO/IEC 27701 è stata progettata per essere applicata sia dai titolari del trattamento che dai responsabili ed è fondata su un approccio basato sul rischio in modo che ogni operatore che voglia essere, e mantenersi, conforme affronti i rischi specifici riguardanti il trattamento dei dati. La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la loro dimensione e il loro settore di attività ma, al contempo, si tratta di una normativa importante che, verosimilmente, ancora è di difficile attuazione per i professionisti e le PMI, ma è verosimile che queste ultime debbano a breve tenerne di conto, per un migliore adeguamento al GDPR e agli standard di sicurezza.




CONDIVIDI QUESTA PAGINA!