ISO/IEC 27701:2019 – Interfaccia del GDPR alle norme ISO

da | Set 29, 2022 | Normative | 0 commenti

27701 - GDPR

 

Introduzione

Dall’ultimo rapporto di Dla Piper da maggio 2018 a Gennaio 2022 le sanzioni per violazione del GDPR in Europa hanno superato il Miliardo di Euro. L’Italia si posiziona al secondo posto per numero di sanzioni ed al terzo posto per ammontare complessivo (quasi 80 milioni di euro).

A fronte di un aumento dei controlli, la consapevolezza delle imprese non appare sempre in linea, nonostante un aumento dell’attenzione da parte di clienti e dei portatori d’interesse in materia di trattamento delle informazioni personali. Il tema della privacy non è mai stato tanto attuale. Il processo di digitalizzazione e la crescente raccolta e gestione delle informazioni ha creato numerose opportunità e richiesto sempre più responsabilità ai detentori dei dati. D’altra parte sono sorti infatti nuovi, e numerosi, crimini connessi.

Pertanto, oggi sembrano necessarie misure e indicazioni per aiutare le aziende, e di riflesso clienti e pubblico, a gestire i rischi legati alla privacy e alla gestione delle informazioni personali.

Che cos’è lo standard ISO/IEC 27701

Lo standard ISO/IEC 27701:2019 specifica i requisiti e fornisce una guida per la creazione, l’implementazione, il mantenimento e il miglioramento continuo di un Sistema di Gestione delle Informazioni sulla Privacy (PIMS). Tale norma, si colloca all’interno del panorama dello “scopo flessibile” della ISO 27001:2013, che prevede la possibilità di estendere i controlli previsti all’interno dell’Allegato A per far fronte a specifiche esigenze infrastrutturali o normative.

In sostanza, la certificazione ISO/IEC 27701, è un’estensione dei controlli della ISO 27001 che tiene in considerazione i principi della normativa per la protezione dei dati personali europea e che fornisce una guida per le organizzazioni che desiderano implementare sistemi per supportare la conformità al GDPR e agli altri requisiti in materia di privacy dei dati.

Certificazione ISO/IEC 27701 – Requisiti e Destinatari

Lo standard è applicabile ad organizzazioni di qualsiasi settore e dimensione, pubbliche e private, responsabili del trattamento delle PII (Informazioni personali identificabili) di interessati residenti in unione europea o incaricati del trattamento delle stesse nell’ambito di un ISMS (Information Security Management System).

Tali organizzazioni potranno sfruttare le linee guida dettate dallo standard per adottare la prevenzione del rischio specifico per la privacy e i nuovi rischi per i dati personali.

 

Per le imprese già certificate ISO/IEC 27001

La nuova norma avrà un’implementazione semplificata per le organizzazioni che hanno già introdotto un Sistema di Gestione per la Sicurezza delle Informazioni, come da ISO 27001. Queste saranno infatti in grado di utilizzare la ISO/IEC 27701 per estendere la copertura della Sicurezza delle Informazioni alla Gestione della Privacy, includendo anche il trattamento dei dati personali. In tal modo, le imprese che hanno già implementato la ISO 27001 dovranno soltanto estendere la nuova norma in un singolo progetto, e non richiederà per tanto la gestione e l’implementazione di progetti e sistemi separati.

 

Vantaggi certificazione ISO/IEC 27701

Sono diversi i vantaggi che un Sistema di Gestione delle Informazioni relative alla Privacy (PIMS) può apportare all’interno della realtà aziendale:

Riduzione del rischio per i diritti alla privacy degli individui e per l’organizzazione;
– Dimostrazione di trasparenza ed affidabilità verso il pubblico;
– Eventuale miglioramento di un Sistema di Gestione della Sicurezza delle Informazioni già in essere;
– Aumento della reputazione verso i clienti e a tutte le parti interessate, interne ed esterne, attraverso una dimostrazione di responsabilità per la gestione della privacy;
Garanzia di riservatezza, integrità e disponibilità delle informazioni e di conformità legale;
– Miglioramento delle competenze interne;
Facilitazione negli accordi commerciali con partner per i quali il trattamento dei dati è parte rilevante;
– Facilità d’integrazione con ISO/IEC 27001

 

Come certificarsi ISO/IEC 27701

Audit Service & Certification è un Organismo di Certificazione Internazionale Accreditato e pertanto potrà supportare le imprese attraverso i seguenti servizi:
– GAP-Analysis per verificare il livello dell’impresa rispetto alla certificazione;
– Corso di formazione interno ISO/IEC 27701 e ISO 27001;
– Certificazione del Sistema di Gestione secondo ISO/IEC 27001 e ISO/IEC 27701.

Ottenere la certificazione, richiede l’implementazione corretta di un sistema di gestione efficace, mirato al soddisfacimento dei requisiti espressi dalle norme. Lo sviluppo di un sistema di gestione, così come l’implementazione e la certificazione rappresenta un processo continuo il cui obiettivo, espresso dalle norme, è garantire un percorso di miglioramento continuo.

Contattaci per iniziare il processo di certificazione.