Verso uno schema di certificazione del GDPR: la ISO/IEC 27701

Posted on 22 gennaio 2020 by Paola Generali in 2020, News

L’organizzazione internazionale per la standardizzazione (ISO) e la commissione elettrotecnica internazionale (IEC), a fronte delle richieste di schemi di certificazione che riguardino il trattamento delle informazioni personali, hanno redatto un nuovo standard di riferimento: l’ISO/IEC 27701.

Qual è lo scopo della nuova ISO?

Il nuovo standard si inserisce all’interno della famiglia delle ISO 27000 e rappresenta un salto di qualità nella regolamentazione del settore privacy, dal momento che mette a disposizione delle imprese alcune istruzioni operative sugli aspetti di adempimento al GDPR. Finalmente è possibile consultare uno strumento pratico che consente di verificare se il sistema di gestione dei dati personali adottato in Azienda è conforme alla normativa vigente.

Può essere utilizzata come certificazione per il GDPR (ex art. 42)?

Durante l’ideazione e la stesura della normativa, in molti credevano che potesse essere utilizzata come certificazione ai sensi dell’art. 42 del GDPR, ma in realtà al momento può essere usata solo per certificare un sistema di gestione, e non un processo, come invece richiesto dal GDPR.

Ad oggi però la ISO/IEC 27701 è il riferimento più autorevole per implementare e valutare tutte le  misure di protezione dei dati personali e consente di raggiungere un elevato livello di accountability.

Il sistema di gestione delle informazioni sulla privacy (PIMS) descritto dalla ISO 27701 permette infatti di:

  • comprovare la conformità al GDPR ed alle normative vigenti in materia di protezione dei dati personali, nel rispetto dei principi di privacy by design e by default
  • generare fiducia nei confronti di Clienti ed interessati del trattamento circa la capacità dell’ Azienda di gestire correttamente i dati personali;
  • definire Ruoli e Responsabilità all’interno dell’ Organizzazione.
  • sviluppare competenze e sensibilità interna sul tema del trattamento dei dati personali
  • migliorare i processi aziendali volti a evitare infrazioni alla normativa.
  • dotarsi di un sistema per la gestione dei data breach e delle richieste degli interessati
  • dotarsi delle misure idonee a tutela dei dati trattati

Vale inoltre la pena sottolineare che, molto probabilmente, la nuova ISO sarà sottoposta all’EDPB per valutare uno schema di certificazione Europeo e potrebbe fornire un importante vantaggio competitivo a chi abbia ottenuto la certificazione.

A chi è rivolta?

La certificazione è rivolta a tutti i tipi di organizzazioni, comprese società (pubbliche e private), enti governativi e organizzazioni senza scopo di lucro sia che agiscano in qualità di Titolari che di Responsabili del trattamento dei dati; inoltre coloro che hanno già ottenuto la certificazione ISO/IEC 27001:2013 possono integrare il proprio Information Security Management System (ISMS) con il PIMS adottato secondo quanto previsto dalla ISO 27701.

 

Tagged as ,

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *