GDRP: come proteggere i dati con l’ISO 27001

GDPR ISO 27001 data protection

Indice del contenuto

Qual è il nesso tra GDPR e ISO 27001? Semplice: secondo il GRPR proteggere i dati in possesso della propria organizzazione è un’attività fondamentale. Tuttavia, non specifica quali misure tecniche e organizzative adottare. Per questo motivo può rivelarsi molto utile prendere esempio dai controlli ISO 27001. Ecco come e perché.

GDPR e protezione dei dati personali

Il GRDP, Regolamento Europeo per la Protezione dei Dati Personali, prevedere una serie di documenti e attività volte a:

  • Tutelare la privacy degli interessati (siano essi clienti, contatti, partner, dipendenti ecc.)
  • Responsabilizzare le aziende, tenute a giustificare le loro scelte in merito alle modalità e finalità dei trattamenti svolti nonché delle misure di sicurezza adottate
  • Proteggere i dati personali

In merito all’ultimo punto, secondo il GDPR le organizzazioni sono responsabili della sicurezza dei dati personali in loro possesso e devono implementare adeguate misure di protezione.
Misure che possono essere di natura tecnica o organizzativa.

Esempi di misure tecniche di sicurezza:

  • Autenticazione degli utenti per accedere ai dati con gestione delle autorizzazioni
  • Tracciamento degli accessi (il c.d. registrazione log)
  • Pseudonimizzazione e cifratura
  • Protezione dei locali e documenti fisici (es. armadio con lucchetto)

Esempi di misure organizzative di sicurezza:

  • Formazione del personale
  • Redazione di procedure per la gestione dei dati personali
  • Controlli interni periodici (audit)
  • Regolamenti interni

Quanto è importante la sicurezza dei dati ai fini GDPR?

Tanto.

Il regolamento stesso lo riconosce nella sua insistenza su due elementi chiave: le valutazioni d’impatto sulla protezione dei dati (DPIA) e la protezione dei dati “Privacy by design e by default”, cioè fin dalla progettazione e per impostazione predefinita. Secondo questi principi, l’organizzazione deve tenere in considerazione la protezione dei dati prima ancora che l’organizzazione prenda possesso dei dati personali.

Per le organizzazioni che dispongono di un responsabile della protezione dei dati (DPO), vi è l’ulteriore requisito per questa figura di “tenere in debita considerazione il rischio associato alle operazioni di trattamento, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento”. Ciò evidenzia quanto sia fondamentale prevedere in che modo i dati personali potrebbero subire danni: l’organizzazione è tenuta a comprendere, prima ancora di ricevere i dati personali, come proteggerli da danni, perdita e divulgazione. Anche all’interno dell’organizzazione stessa.

Inoltre, le sanzioni più elevate (fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’organizzazione) si applicano alle violazioni dei requisiti direttamente correlati ai diritti degli interessati e quindi anche alla protezione dei loro dati.

Nonostante la grande importanza riconosciuta dal GDPR alla sicurezza dei dati, il Regolamento non offre indicazioni precise su come proteggere i dati personali. Viene solo indicata la necessità per le organizzazioni di adottare “misure tecniche e organizzative” adeguate.

Perché il GDPR non offre indicazioni specifiche sulle misure di sicurezza

Prima di tutto, perché le organizzazioni hanno esigenze di sicurezza differenti, legate non solo a caratteristiche quali dimensioni e settore di appartenenza ma anche di capacità, budget e natura dei dati personali trattati. A titolo esemplificativo, un piccolo negozio di fiori avrà esigenze di sicurezza dei dati diverse rispetto a una grande banca internazionale, quindi adotteranno misure tecniche e organizzative differenti.

Secondo, le minacce alla sicurezza si evolvono, così come dovrebbe evolversi il sistema di adeguamento al GDPR delle singole aziende. Molte aziende purtroppo tendono erroneamente a considerare le attività GDPR come un’incombenza burocratica da svolgere una volta per sempre. In realtà, per essere davvero conformi alla normativa, bisogna considerarla come un’attività in continuo aggiornato, e la parte relativa alla sicurezza dei dati non fa eccezione.

GDPR, gestione del rischio e ISO 27001

Per proteggere i dati personali, è necessario comprendere in che modo tali dati possono essere danneggiati. Per essere compliance al GDPR è perciò necessario adottare un approccio sistematico per determinare il potenziale danno.

Un approccio come quello offerto dallo standard ISO 27001.

L’ISO 27001 è uno standard internazionale riconosciuto per la sua validità nel definire un sistema di gestione della sicurezza delle informazioni.

Adottare lo standard ISO 27001 per la protezione delle informazioni, e quindi anche dei dati personali, si rivela molto utile in quanto:

  • Permette di sviluppare un metodo per la valutazione dei rischi
  • Consiglia le pratiche da implementare per ridurre i rischi a livelli considerati come accettabili per le esigenze aziendali. Queste pratiche, indicate nello standard come “controlli ISO 27001”, sono l’equivalente delle “misure di sicurezza tecniche e organizzative” richieste per una corretta applicazione del GDPR
  • I controlli suggeriti non sono eccessivamente prescrittivi
  • Non sono obbligatori e si può valutare quali è il caso di applicare in base alle caratteristiche peculiari dell’organizzazione
  • Possono essere adattati per integrarsi con un programma di gestione del rischio più ampio.

GDPR e ISO 27001: conclusioni

Adottare lo standard ISO 27001 si rivela pertanto utile all’organizzazione anche in ottica GDPR per la protezione dei dati personali.

Ma non basta un approccio puramente teorico: tutti questi controlli devono essere pianificati, catalogati e tracciati affinché il programma di gestione del rischio abbia successo. Questo sia per renderlo più efficace sia per provare i tuoi sforzi per proteggere i dati personali, utile in particolare modo a seguito di ispezioni del Garante e violazioni: nel determinare l’entità delle sanzioni amministrative, il GDPR invita le autorità di controllo a tenere conto di “qualsiasi azione intrapresa dal titolare o responsabile del trattamento per mitigare il danno subito dagli interessati” nonché delle misure tecniche e organizzative che sono state messe in atto.

È importante ricordare che la gestione del rischio non è solo un esercizio formale ma un approccio ragionevole e fondamentale al business in quanto permette di proteggere non solo la privacy degli interessati, ma anche la tua organizzazione. Oltre ai danni che potrebbero comportare le sanzioni per violazioni del GDPR, le organizzazioni devono affrontare la prospettiva di altre sanzioni da parte di autorità di regolamentazione e cause civili, ulteriori danni alla loro reputazione e potenziali ripercussioni da parte di partner e fornitori.

Desideri il parere di un professionista per la valutazione dei rischi della tua organizzazione in ottica GDPR – ISO 27001? Contattaci per una consulenza!

© Copyright Axsym Srl – Riproduzione riservata

Condividi articolo:

Condividi su facebook
Condividi su linkedin
Condividi su twitter
Condividi su email

Leggi anche

Iscriviti alla nostra newsletter

per rimanere aggiornato su novità e servizi

Cliccando sul pulsante di invio del modulo acconsenti a ricevere le comunicazioni Axsym su novità, servizi e attività promozionali secondo quanto indicato nell’informativa privacy

Richiedi informazione su Atena

Cliccando il pulsante di invio si dichiara di accettare le condizioni di trattamento come indicato nell’informativa privacy

INVIA UN MESSAGGIO