Notizie d'Abruzzo le notizie della tua regione
Articoli Correlati
La nuova norma ISO/IEC 27701, pubblicata nel mese di agosto 2019, ha l’obiettivo di estendere i controlli previsti dallo standard certificabile ISO/IEC 27001 al fine di garantire la protezione dei dati personali ed è stata progettata per essere utilizzata da tutte le organizzazioni, di qualsiasi dimensione e settore di attività, titolari o responsabili del trattamento.
Come per la ISO/IEC 27001, la norma è fondata su un approccio basato sul rischio in modo le organizzazioni che vogliano essere e mantenersi conformi affrontino i rischi riguardanti il trattamento dei dati personali ed identifichino le misure di sicurezza secondo un approccio coerente.
Lo standard fornisce requisiti e linee guida, secondo il paradigma PDCA, per Pianificare, Implementare, Monitorare e Migliorare un PIMS cioè un Privacy Information Management System, sia che l’organizzazione operi come titolare del Trattamento, sia come Responsabile. Tale standard può essere usato per certificare un sistema di gestione, ma non un processo (o una processing activity, ossia un trattamento) rispetto a una norma, come invece richiesto dal GDPR.
Infatti, durante i lavori di stesura della norma sembrava essere possibile che lo standard potesse essere utilizzato, fin da subito, come schema di certificazione ai sensi dell’art. 42 del Regolamento EU 2016/679 (GDPR). Come noto, il GDPR, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali con l’obiettivo della corretta applicazione del Regolamento e della dimostrazione della conformità allo stesso dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Il problema è dovuto al fatto che la ISO/IEC 27701, estendendo la ISO/IEC 27001, norma certificabile, è accreditabile secondo la norma ISO/IEC 17021, che riporta i requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione. L’articolo 43 del GDPR prevede che prevede gli organismi di certificazione siano accreditati secondo la norma EN ISO/IEC 17065:2012, ossia la norma che riporta i requisiti per organismi che certificano prodotti, processi e servizi. Da considerare inoltre che si è in attesa delle linee guida prodotte dall’EDPB sui meccanismi di certificazione (“Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)” e “Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation”) per avere chiarezza sulle modalità di attuazione di tali articoli del GDPR.
In ogni caso, questo nuovo standard, essendo una estensione di quello che oggi viene considerato il riferimento in materia di applicazione di misure di sicurezza del GDPR (anche dall’ENISA – Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione), è opinione comune che prenderà comunque piede tanto da portare in secondo piano eventuali altri meccanismi di certificazione, inclusi quelli approvati in base all’’art. 42 del GDPR, che non possono godere della stessa autorevolezza internazionale.
Considerando infine che nel 2020 partirà la prima revisione del GDPR, è possibile che gli articoli relativi alle certificazioni possano essere rivisti in maniera da poter garantire un approccio comune e standard alla sicurezza delle informazioni ed al trattamento dei dati personali.
