Qual è il nesso tra GDPR e ISO 27001? Semplice: secondo il GRPR proteggere i dati in possesso della propria organizzazione è un’attività fondamentale. Tuttavia, non specifica quali misure tecniche e organizzative adottare. Per questo motivo può rivelarsi molto utile prendere esempio dai controlli ISO 27001. Ecco come e perché.
GDPR e protezione dei dati personali
Il GRDP, Regolamento Europeo per la Protezione dei Dati Personali, prevedere una serie di documenti e attività volte a:
- Tutelare la privacy degli interessati (siano essi clienti, contatti, partner, dipendenti ecc.)
- Responsabilizzare le aziende, tenute a giustificare le loro scelte in merito alle modalità e finalità dei trattamenti svolti nonché delle misure di sicurezza adottate
- Proteggere i dati personali
In merito all’ultimo punto, secondo il GDPR le organizzazioni sono responsabili della sicurezza dei dati personali in loro possesso e devono implementare adeguate misure di protezione.
Misure che possono essere di natura tecnica o organizzativa.
Esempi di misure tecniche di sicurezza:
- Autenticazione degli utenti per accedere ai dati con gestione delle autorizzazioni
- Tracciamento degli accessi (il c.d. registrazione log)
- Pseudonimizzazione e cifratura
- Protezione dei locali e documenti fisici (es. armadio con lucchetto)
Esempi di misure organizzative di sicurezza:
- Formazione del personale
- Redazione di procedure per la gestione dei dati personali
- Controlli interni periodici (audit)
- Regolamenti interni
Quanto è importante la sicurezza dei dati ai fini GDPR?
Tanto.
Il regolamento stesso lo riconosce nella sua insistenza su due elementi chiave: le valutazioni d’impatto sulla protezione dei dati (DPIA) e la protezione dei dati “Privacy by design e by default”, cioè fin dalla progettazione e per impostazione predefinita. Secondo questi principi, l’organizzazione deve tenere in considerazione la protezione dei dati prima ancora che l’organizzazione prenda possesso dei dati personali.
Per le organizzazioni che dispongono di un responsabile della protezione dei dati (DPO), vi è l’ulteriore requisito per questa figura di “tenere in debita considerazione il rischio associato alle operazioni di trattamento, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento”. Ciò evidenzia quanto sia fondamentale prevedere in che modo i dati personali potrebbero subire danni: l’organizzazione è tenuta a comprendere, prima ancora di ricevere i dati personali, come proteggerli da danni, perdita e divulgazione. Anche all’interno dell’organizzazione stessa.
Inoltre, le sanzioni più elevate (fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’organizzazione) si applicano alle violazioni dei requisiti direttamente correlati ai diritti degli interessati e quindi anche alla protezione dei loro dati.
Nonostante la grande importanza riconosciuta dal GDPR alla sicurezza dei dati, il Regolamento non offre indicazioni precise su come proteggere i dati personali. Viene solo indicata la necessità per le organizzazioni di adottare “misure tecniche e organizzative” adeguate.
Perché il GDPR non offre indicazioni specifiche sulle misure di sicurezza
Prima di tutto, perché le organizzazioni hanno esigenze di sicurezza differenti, legate non solo a caratteristiche quali dimensioni e settore di appartenenza ma anche di capacità, budget e natura dei dati personali trattati. A titolo esemplificativo, un piccolo negozio di fiori avrà esigenze di sicurezza dei dati diverse rispetto a una grande banca internazionale, quindi adotteranno misure tecniche e organizzative differenti.
Secondo, le minacce alla sicurezza si evolvono, così come dovrebbe evolversi il sistema di adeguamento al GDPR delle singole aziende. Molte aziende purtroppo tendono erroneamente a considerare le attività GDPR come un’incombenza burocratica da svolgere una volta per sempre. In realtà, per essere davvero conformi alla normativa, bisogna considerarla come un’attività in continuo aggiornato, e la parte relativa alla sicurezza dei dati non fa eccezione.
GDPR, gestione del rischio e ISO 27001
Per proteggere i dati personali, è necessario comprendere in che modo tali dati possono essere danneggiati. Per essere compliance al GDPR è perciò necessario adottare un approccio sistematico per determinare il potenziale danno.
Un approccio come quello offerto dallo standard ISO 27001.
L’ISO 27001 è uno standard internazionale riconosciuto per la sua validità nel definire un sistema di gestione della sicurezza delle informazioni.
Adottare lo standard ISO 27001 per la protezione delle informazioni, e quindi anche dei dati personali, si rivela molto utile in quanto:
- Permette di sviluppare un metodo per la valutazione dei rischi
- Consiglia le pratiche da implementare per ridurre i rischi a livelli considerati come accettabili per le esigenze aziendali. Queste pratiche, indicate nello standard come “controlli ISO 27001”, sono l’equivalente delle “misure di sicurezza tecniche e organizzative” richieste per una corretta applicazione del GDPR
- I controlli suggeriti non sono eccessivamente prescrittivi
- Non sono obbligatori e si può valutare quali è il caso di applicare in base alle caratteristiche peculiari dell’organizzazione
- Possono essere adattati per integrarsi con un programma di gestione del rischio più ampio.
Standard ISO 27001: versione 2013 o 2022?
Quando si parla di standard ISO 27001 bisogna tenere conto del fatto che al momento esistono 2 versioni dello standard: la versione 2013 e quella più recente pubblicata nel 2022.
La versione 2022 diventerà l’unica versione utilizzabile da novembre 2025, in quanto dal 31 ottobre 2025 tutte le certificazione ISO 27001 implementate sulla versione 2013 scadranno, non avranno quindi più alcuna validità. Ciò significa che entro quella data tutte le aziende in possesso di certificazione dovranno passare dalla versione 2022.
Ma cosa cambia dalle versione dello standard del 2013 al quella del 2022? Lo spieghiamo nella Guida Gratuita che puoi scaricare dal pulsante sottostante.
GDPR e ISO 27001: conclusioni
Adottare lo standard ISO 27001 si rivela pertanto utile all’organizzazione anche in ottica GDPR per la protezione dei dati personali.
Ma non basta un approccio puramente teorico: tutti questi controlli devono essere pianificati, catalogati e tracciati affinché il programma di gestione del rischio abbia successo. Questo sia per renderlo più efficace sia per provare i tuoi sforzi per proteggere i dati personali, utile in particolare modo a seguito di ispezioni del Garante e violazioni: nel determinare l’entità delle sanzioni amministrative, il GDPR invita le autorità di controllo a tenere conto di “qualsiasi azione intrapresa dal titolare o responsabile del trattamento per mitigare il danno subito dagli interessati” nonché delle misure tecniche e organizzative che sono state messe in atto.
È importante ricordare che la gestione del rischio non è solo un esercizio formale ma un approccio ragionevole e fondamentale al business in quanto permette di proteggere non solo la privacy degli interessati, ma anche la tua organizzazione. Oltre ai danni che potrebbero comportare le sanzioni per violazioni del GDPR, le organizzazioni devono affrontare la prospettiva di altre sanzioni da parte di autorità di regolamentazione e cause civili, ulteriori danni alla loro reputazione e potenziali ripercussioni da parte di partner e fornitori.
Desideri il parere di un professionista per la valutazione dei rischi della tua organizzazione in ottica GDPR – ISO 27001? Contattaci!
