Lo standard ISO 27701 per la protezione dei dati personali rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali. Ecco come progettare e realizzare soluzioni tecnico/organizzative conformi al GDPR e alla normativa vigente in materia di privacy

L’ISO e la IEC hanno preso l’iniziativa di redigere uno standard di riferimento per la protezione dei dati personali: l’ISO/IEC 27701/19 pubblicata ad agosto 2019.

La ISO/IEC 27701 nasce proprio con l’obiettivo di implementare un PIMS (Privacy Information Management System) cioè un sistema per la protezione dei dati personali, quindi un ISMS specializzato sulle tematiche peculiari della privacy e si pone come punto unico di riferimento in ambito privacy, dal momento che referenzia gli altri standard vigenti in materia dei quali estende ed attualizza le indicazioni.

Come noto, nel GDPR si fa riferimento a “schemi di certificazione” che possono essere messi a disposizione dal Legislatore (comunitario o nazionale) per dimostrare l’adeguatezza del trattamento e delle relative misure di sicurezza.

Tale argomento è trattato nel Capo IV sezione 5 – Codici di condotta e certificazioni oltre che in diversi considerando (98,99,100,167,168).

I requisiti e i controlli espressi dalla ISO/IEC 27701 non soltanto tengono in considerazione la normativa tecnica internazionale vigente (ISO/IEC 27001, ISO/IEC 27002, il privacy framework ed i principi espressi nella ISO/IEC 29100, ISO/IEC 27018, ISO/IEC 29151), ma fanno esplicito riferimento al GDPR indicando in modo chiaro ed esplicito gli adempimenti che interessano titolare e responsabile del trattamento.

Con la ISO/IEC 27701 siamo quindi, finalmente, di fronte ad uno strumento pratico potentissimo che consente di verificare se i trattamenti effettuati da un’organizzazione siano o meno conformi al GDPR. Per tale norma (come per la 27001) esiste anche uno schema di certificazione cioè utile a dimostrare in modo strutturato, documentato e ripetibile la conformità alla legislazione ed alle “best practice” vigenti.

La norma oltre ad essere costituita dai vari paragrafi riporta nell’allegato D una tabella comparativa tra norma e GDPR che dimostra la completa affinità tra le due e la possibilità di utilizzare la norma ISO per dimostrare il completo recepimento del GDPR da parte delle organizzazioni.

Per ulteriori informazioni sull’applicabilità della norma e sul GDPR clicca qui