section-e145d07
Gestire gli adempimenti previsti dal Regolamento Privacy
La norma ISO 27001 è una base importante per la conformità con la GDPR.
L’adeguamento al nuovo Regolamento Europeo sulla Privacy non è solo un adempimento normativo, ma è anche la giusta via per tutelare l’azienda. Se un’organizzazione ha già implementato questo standard, è almeno a metà strada verso il garantire la protezione dei dati personali e minimizzare il rischio di una perdita il cui impatto reputazionale ed economico risulterebbe dannoso per l’organizzazione stessa.
Vediamo come sono relazionati il GDPR e lo standard ISO 27001. Di seguito i punti più rilevanti:
La valutazione dei rischi è un tema fondamentale visto l’importante impatto in termini sia finanziari e di visibilità che ogni azienda andrebbe ad affrontare in caso di fuoriuscite di dati. L’articolo 32 del Regolamento GDPR richiede al titolare del trattamento dei dati e all’appaltatore di implementare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Con l’implementazione dello standard ISO 27001, è obbligatorio avere un elenco rilevante di requisiti legislativi, regolamentari, normativi e contrattuali. L’articolo A.18.1.4 (Privacy e protezione dei dati personali) di ISO 27001 guida le organizzazioni all’attuazione di una politica di protezione di dati e informazioni personali.
La ISO 27001 include la gestione dei dati personali come attività di sicurezza delle informazioni, e consente alle aziende di capire dove sono impiegati tali dati, per quanto tempo, la loro origine e chi ne ha accesso. Tutte queste voci fanno parte dei requisiti richiesti dal GDPR.
Privacy by design riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto.
L’articolo 25 del GDPR ha stabilito che sia al momento di determinare i mezzi del trattamento (fase di design delle soluzioni) sia all’atto del trattamento stesso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire la conformità della soluzione disegnata ai principi e le tutele fondamentali previste dal GDPR.
Nella ISO 27001 viene specificata la necessità di “proteggere i beni dell’organizzazione che sono accessibili dai fornitori “.