ISO/IEC 27701 - Gestione delle informazioni sulla privacy

La tutela della privacy rappresenta un'esigenza crescente delle organizzazioni, in un mondo sempre più connesso. Le attuali norme sulla privacy, come il Regolamento generale dell'Unione Europea sulla protezione dei dati (GDPR), introdotto dai governi, chiedono alle aziende di adeguarsi. Gli standard ISO, come la ISO/IEC 27701, aiuteranno il tuo business a soddisfare i requisiti e gestire i rischi per la privacy relativi alle informazioni personali identificabili (PII).

Cresce nella mentalità di clienti, consumatori e stakeholder, la necessità di fiducia e senso di responsabilità nel trattamento delle informazioni personali; ma il rischio va oltre la pura conformità alle norme. Le aziende devono avere le giuste competenze, processi e sistemi in atto. Con l'aumento del numero di denunce e multe relative alla privacy e alla protezione dei dati, sembra esservi una crescente richiesta di indicazioni e linee guida.

Basandosi sui requisiti della ISO/IEC 27001, la ISO/IEC 27701 fornisce tale indicazioni e aiuta le aziende a gestire i rischi per la privacy legati alle informazioni personali identificabili (PII). Può anche aiutare le aziende a rispettare il GDPR così come altri Regolamenti di protezione di dati. I due standard possono esser certificati in combinazione.

Che cosa è la ISO/IEC 27701?

La norma ISO/IEC 27701 specifica i requisiti e fornisce indicazioni per implementare, attuare, mantenere e migliorare costantemente un sistema di gestione delle informazioni sulla privacy (PIMS). Si basa sui requisiti della norma ISO/IEC 27001, lo standard per i sistemi di gestione della sicurezza delle informazioni (ISMS), e sul Codice di buone pratiche per i controlli della sicurezza delle informazioni nella ISO/IEC 27002.

La ISO/IEC 27701 fornisce il quadro del sistema di gestione per proteggere le informazioni personali identificabili (PII). Riguarda il modo in cui le organizzazioni devono gestire i dati personali ed è di supporto nel dimostrare la conformità alle norme applicabili sulla Privacy.

Se avete già implementato la ISO/IEC 27001, la nuova ISO/IEC 27701 valorizza i vostri sforzi per la sicurezza comprendendo la gestione della Privacy. Ciò include il trattamento delle informazioni personali identificabili (PII) a dimostrazione della conformità alle norme sulla protezione dei dati, come il GDPR.

Per le organizzazioni che non dispongono di un sistema di gestione della sicurezza delle informazioni conforme alla norma ISO/IEC 27001, è possibile applicare le due norme (ISO/IEC 27001 e ISO/IEC 27701) in un unico progetto.

Chi dovrebbe applicare la norma ISO/IEC 27701?

La ISO/IEC 27701 fornisce indicazioni a qualsiasi organizzazione responsabile del trattamento delle informazioni personali identificabili (PII) nell'ambito di un sistema di gestione della sicurezza delle informazioni. Possono beneficiarne le organizzazioni di tutte le dimensioni e tipologie, comprese le imprese pubbliche e private, nonché gli enti governativi e altri tipi di organizzazione. Fornisce un approccio basato sul rischio, aiuta le organizzazioni a prevenire rischi specifici per la privacy già affrontati così come i nuovi rischi per i dati personali e la privacy.

Vantaggi della certificazione secondo la ISO/IEC 27701 

Un sistema di gestione delle informazioni relative alla privacy (PIMS) presenta diversi vantaggi:

  • Costruisce la fiducia nella capacità della vostra azienda di gestire le informazioni personali, sia per i clienti e dipendenti.
  • È di supporto nel dimostrare conformità con il GDPR e altre norme applicabili sulla privacy.
  • Chiarisce i ruoli e le responsabilità all'interno della vostra organizzazione.
  • Migliora la competenza interna e i processi per evitare infrazioni.
  • Fornisce trasparenza sui controlli stabiliti per la gestione della privacy.
  • Facilita gli accordi con i partner commerciali in cui il trattamento dei PII (informazioni personali identificabili) è reciprocamente rilevante.
  • Si integra facilmente con lo standard principale per la sicurezza delle informazioni ISO/IEC 27001.

Come si può utilizzare la ISO/IEC 27701 per conformarsi alla direttiva GDPR?

L'implementazione di un sistema di gestione conforme alle norme ISO/IEC 27701 e ISO/IEC 27001 consentirà alla vostra azienda di soddisfare i requisiti di privacy e sicurezza delle informazioni stabiliti nel GDPR e in altre normative sulla protezione dei dati. Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate (incl. informative, procedure e processi) per proteggere i dati personali che esse trattano (in accordo all’articolo 5(2)).

La ISO/IEC 27001, norma internazionale per un ISMS (sistema di gestione della sicurezza delle informazioni), fornisce un ottimo punto di partenza per il raggiungimento dei requisiti tecnici e operativi necessari per ridurre il rischio di violazione.

La ISO/IEC 27701 fornisce indicazioni per l’istituzione  - e specifica i requisiti per l'implementazione, il mantenimento e il continuo miglioramento - di un PIMS (sistema di gestione delle informazioni relative alla privacy), sempre sulla base dei requisiti, obiettivi di verifica e controlli della norma ISO 27001, ed esteso ad una serie di requisiti, obiettivi di verifica e controlli specifici per la privacy. Un allegato fa riferimento al GDPR e alla ISO/IEC 27701 anche se lo standard non è specifico per il GDPR.

Entrambi gli standard aiutano le aziende conformi a soddisfare e dimostrare il rispetto dei requisiti previsti dal GDPR su privacy e sicurezza delle informazioni.

Mentre la ISO/IEC 27701 attualmente non viene espressamente nominata nel meccanismo di certificazione delineato dal GDPR all'articolo 42, è possibile ottenere una certificazione accreditata ISO/IEC 27701 combinata con la ISO/IEC 27001 da un ente di terza parte indipendente come DNV.

Come posso prepararmi per la certificazione?

Sia che stiate pensando di implementare la ISO/IEC 27701 (come estensione al vostro attuale sistema di gestione della sicurezza delle informazioni conforme alla norma ISO/IEC 27001) sia che abbiate appena iniziato il processo, DNV può supportarvi con:

  • GAP-Analysis per verificare il livello di preparazione rispetto ad una certificazione
  • Corsi di formazione per ISO/IEC 27001
  • Certificazione del vostro sistema di gestione secondo ISO/IEC 27001 e ISO/IEC 27701

Inoltre, DNV è in grado di sostenere le vostre esigenze di formazione in relazione alle norme e al vigente GDPR (Unione Europea Generale di protezione dei dati Regolamento).

Per ottenere la certificazione, è necessario implementare un sistema di gestione efficace che soddisfi i requisiti delle norme. È importante che vi impegniate e fissiate obiettivi chiari per l'attuazione e la valutazione. Prima della certificazione, si raccomanda che la vostra azienda effettui degli audit interni per individuare potenziali lacune. Una delle cose più importanti da ricordare è che lo sviluppo, l'implementazione e la certificazione di un sistema di gestione è un processo continuo, l'audit di certificazione rappresenta un elemento di un percorso di miglioramento continuo.

Vedi come iniziare il processo di certificazione.

Maggiori informazioni

Training

Training

Insights rilevanti in un contesto di apprendimento attivo.