Adeguamento al GDPR 679 2016 sotto il cappello di una regola riconosciuta universalmente, la ISO 27001

Lo standard ISO 27001 ( standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) può rappresentare un esempio di best practice da cui partire per conformarsi al GDPR 679/2016 Regolamento Europeo Privacy.

Un prima valutazione per ritenerlo un punto di partenza, è dettata dal fatto che il GDPR essendo un Regolamento Europeo ha applicazione uniforme in tutto l’ambito UE, con alcune limitate integrazioni che saranno possibili da parte di ogni singola legislazione nazionale, per cui uno standard uniforme e riconosciuto come la ISO 27001 può, e deve essere, un punto di irferimento da cui partire per ogni Azienda, Ente, o Studio Professionale.

A prescindere che l’iter intrapreso porti oppure no ad una “formale certificazione” da parte di un organismo di certificazione accreditato a livello nazionale od europeo, l’adozione effettiva e concreta di uno standard come la ISO:27001 può essere utile, e serve ai titolari del trattamento per garantire ed utilizzare uno strumento volto a dimostrare di aver adottato delle “misure di sicurezza efficaci ed adeguate“, nonché per limitare l’importo delle sanzione previste in caso di eventuale contestazione da parte dell’Autorità Garante competente.

La certificazione 27001 non è obbligatoria (articolo 42 comma 3), ma anche adottandola essa non è completamente risolutiva, in quanto lascia impregiudicata la possibilità per il Garante di contestare eventuali non conformità al Regolamento delle misure adottate dal titolare del trattamento (articolo 42 comma 4).

Il legislatore comunitario comunque incoraggia l’adozione di meccanismi di certificazione della protezione dei dati che abbiano la “potenzialità di dimostrare” la conformità alla legge e costituiscano un fattore attenuante in caso di sanzioni. Questa indicazione ha spinto la Iso ad avviare lo sviluppo della «Iso/Iec 27552 – Enhancement to Iso/Iec 27001 for privacy management»: l’organizzazione punta ad evolvere lo Standard in materia di gestione della sicurezza delle informazioni nello strumento principe per garantire la conformità al Regolamento Europeo.

Vi sono fondamentali convergenze tra lo standard ISO 27001 e quanto richiesto “improrogabilmente” dal Regolamento Europeo, quindi l’adesione ai controlli ISO può aiutare i titolari e responsabili a conformarsi il più possibile al Regolamento.

In primis il DATA BREACH, Il Regolamento prevede che le Aziende dovranno notificare all’Autorità competente (ed in alcuni casi all’interessato) la scoperta di un “data breach”, entro 72 ore. L’implementazione del controllo ISO 27001 A.16.1 (Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti) dovrebbe assicurare “un approccio coerente ed efficace alla gestione degli incidenti in materia di sicurezza informatica, compresa la comunicazione sugli eventi di sicurezza”. La norma impone infatti – nel disporre che debbano essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida ed efficace agli incidenti relativi alla sicurezza delle informazioni – specifica che “Gli eventi relativi alla sicurezza delle informazioni devono essere segnalati il più velocemente possibile attraverso appropriati canali gestionali”.

Il principio di COMPLIANCE, la norma ISO 27001 al controllo A.18.1.4 (Privacy e protezione delle informazioni personali di identificazione) richiede che “ Si devono assicurare la privacy e la protezione dei dati personali, come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile”.

Il controllo ISO 27001 A.8 (Gestione patrimoniale) impone di identificare gli asset dell’Organizzazione e definire adeguate responsabilità per la loro protezione; di classificare le informazioni affinchè ricevano un adeguato livello di protezione in linea con la loro importanza per l’Organizzazione; di prevenire la divulgazione non autorizzata, la modifica, la rimozione o la distruzione delle informazioni archiviate sui supporti. Tutti esigenze previste anche dal Regolamento Privacy e maggiormente adesso dal GDPR 679/2016 ed il controllo A.8.2.1 (Classificazione delle informazioni) dispone che: “Le informazioni devono essere classificate in relazione al loro valore, ai requisiti cogenti e alla criticità in caso di divulgazione o modifica non autorizzate.”

Il controllo ISO 27001 A.15.1 (Sicurezza delle informazioni nelle relazioni con i fornitori) ha come obiettivo “la protezione degli asset dell’organizzazione accessibili da parte dei fornitori “. Anche il GDPR prevede requisiti di sicurezza delle informazioni per mitigare i rischi associati all’accesso agli asset dell’organizzazione da parte dei fornitori, prevedendo che essi debbano essere concordati con i fornitori stessi mediante accordi formali e documentati.

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci