Conformità al GDPR: i vantaggi della certificazione ISO 27001

General Data Protection Regulation e certificazione ISO 27001: gli aspetti comuni e le sostanziali differenze. Tra le indicazioni fornite al titolare del trattamento dati per rendere la propria organizzazione compliant c’è anche l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni.

A sei mesi dall’entrata in vigore del General Data Protection Regulation (GDPR), la quasi totalità delle aziende ha apportato modifiche al sistema di gestione della privacy, aumentando la sicurezza dei dati personali in proprio possesso, secondo le normative europee. Per gestire e controllare l’enorme flusso di dati che ogni giorno confluisce nei data base di organizzazioni pubbliche e private, il GDPR ha infatti introdotto numerose norme volte a tutelare i dati personali degli utenti, per evitare il trattamento indebito delle informazioni.

All’interno del Regolamento europeo 679/2016 sono presenti le indicazioni rivolte al titolare del trattamento dei dati personali sulle procedure da mettere in atto al fine di dimostrare la conformità del proprio sistema al GDPR. Come ormai è noto, il GDPR è una norma che porta all’armonizzazione dei diversi regolamenti nazionali relativi alla gestione e alla protezione dei dati personali, introdotta e resa operativa a partire dal maggio scorso; al suo interno, tra le indicazioni fornite per raggiungere la piena conformità, viene anche riportata la possibilità di introdurre un sistema di gestione certificato da un ente terzo.

ENISA – European Union Agency for Network and Information Security – ha pubblicato le linee guida contenenti le modalità per individuare e validare i processi di certificazione inerti alla gestione dei personal data, segnalando, tra le altre, la possibilità di ottenere la certificazione ISO IEC 27001:2013 – Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Munirsi di un tale protocollo permette all’organizzazione di gestire in modo oggettivo, efficiente e garantito diversi aspetti legati al trattamento delle informazioni, ad esempio operando controlli sulla sicurezza operativa e sull’accesso ai dati e fornendo ai propri dipendenti un’adeguata formazione sul tema.

Se ottenere la certificazione ISO 27001 per la Sicurezza delle Informazioni non basta per risultare completamente conformi al Regolamento europeo 679/2016, può tuttavia rappresentare una buona base di partenza per il raggiungimento della compliance, per la mancanza della quale non verranno più concesse deroghe a partire da gennaio 2019.

Vediamo insieme alcuni dei punti di contatto tra GDPR e ISO 27001:

• Riservatezza, disponibilità e integrità dei dati: necessità di istituire sistemi efficaci per la protezione dei dati e per la gestione della privacy;
• Valutazione dei rischi correlati: obbligatorietà dell’analisi e del monitoraggio dei possibili rischi legati alle specifiche attività dell’organizzazione in esame;
• Obbligo di notifica: autorità preposte e interessati devono essere informati in modo tempestivo in caso di violazione della privacy;
• Elaborazione dei registri: ogni organizzazione deve compilare e conservare un registro delle attività e dei dati detenuti.

Numerosi, tuttavia, sono anche gli aspetti prescritti dal GDPR che esulano dal Sistema di Gestione della Sicurezza delle Informazioni e che devono perciò essere implementati a prescindere dall’ottenimento della certificazione. Le principali differenze tra le due normative riguardano i temi contenuti nel capitolo 3 del General Data Protection Regulation, del tutto assenti nella ISO 27001, tra i quali troviamo:

• Richiesta di consenso al trattamento obbligatoria
• Diritto all’oblio
• Diritto alla portabilità dei dati

Johnson & Bartlett – società con una best practice d’eccellenza, maturata oltremanica nei settori IT e legal – propone servizi di consulenza alle aziende, di ogni settore e grandezza, al fine di raggiungere la piena conformità al GDPR. Gli esperti di Johnson & Bartlett affiancano con serietà e competenza i propri clienti, fornendo un valido supporto al personale aziendale e individuando percorsi personalizzati finalizzati ad ottemperare gli obblighi di legge.