Bisogno di informazioni?
   
Consulenza Privacy

Protezione dei dati personali

La nuova norma ISO IEC 27701 (che è una estensione della ISO 27001) è la norma di certificazione volontaria più idonea sul piano della protezione dei dati, perchè strettamente aderente al Regolamento UE 2016/679 GDPR, al quale si mostra conforme.

La norma 27001 definisce le misure aziendali utili per gestire i rischi legati alla protezione dei dati.

La norma 27001 è utile nell’applicazione del GDPR in quanto le aziende non trovano nel Regolamento UE 2016/679 una bussola pragmatica e operativa.

Infatti il GDPR introduce concetti come la valutazione del rischio, e incoraggia “l’istituzione di meccanismi di certificazione della protezione dei dati”, ma non fornisce strumenti pratici che consentano alle organizzazioni di avere delle linee guida in funzione della specificità organizzativa e del proprio settore.

La ISO 27001 integra l’articolo 32 del GDPR poiché definisce le migliori pratiche per garantire la sicurezza dei dati, attenuando dunque i rischi all’interno dell’organizzazione, e che definiscono l’efficacia del sistema di gestione. Inoltre introduce l’analisi del contesto finalizzata alla valutazione dei rischi legati alla protezione dei dati.

Le organizzazioni che non sono dotate di un sistema di gestione delle informazioni possono anche implementare ISO/IEC 27001 e 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.

Certificazione ISO IEC 27701e GDPR

Implementare un un sistema di gestione conforme alla ISO/IEC 27001 integrata con la ISO/IEC 27701) permette a tutte le organizzazioni di soddisfare tutti i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrare che sono state predisposte “misure tecniche e organizzative appropriate” (art. 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati.

Gli Organismi di Certificazione che certificano la conformità dei trattamenti di dati personali conformi al GDPR sono quelli accreditati o dall’Autorità di Controllo (Garante della protezione dei dati personali) o dall’organismo nazionale di accreditamento (Accredia in Italia).

A disposizione per la consulenza nell’implementazione corretta della Certificazione ISO IEC 27701