Un’organizzazione che assicura la propria conformità alle norme ISO ha già compiuto un importante passo in avanti verso il riconoscimento di un sistema che protegga a 360 gradi le informazioni e i diritti delle persone fisiche. L’integrazione tra il GDPR e le norme ISO può rispondere all’esigenza delle organizzazioni di avere il controllo, all’interno dei propri processi, soprattutto in fase di progettazione, delle regole previste dal GDPR. L’utilizzo di uno o più documenti condivisibili con tutti gli attori interessati alla progettazione, permette di raccogliere tutte le informazioni necessarie affinché l’output della stessa sia compliant al Regolamento europeo, tutelando i diritti e le libertà delle persone fisiche.
Tuttavia, esiste un’opinione secondo la quale la norma sopra citata non sarebbe di per sé sufficiente a soddisfare i requisiti richiesti dal GDPR, in quanto il dato personale, essendo per definizione immateriale, non può essere trattato alla stregua di un prodotto fisico e quindi calato nell’ottica di una filiera produttiva. Il concetto espresso è valido anche se è riduttivo calare la ISO 9001 a semplice norma “manifatturiera” (come sovente viene definita). Va estrapolato il concetto per il quale la norma permette all’organizzazione di imparare, attraverso procedure ben scritte, a mappare i processi, adottare modelli, verificare e riesaminare l’output delle proprie azioni, ragionare in termini di rischio e aggiornare periodicamente la documentazione. Un metodo che aiuterà l’impresa a ragionare secondo un modello ben organizzato che la faciliterà a tenere sotto controllo anche il sistema privacy. Non solo. Un aspetto importante nell’ottica di gestione d’impresa, è il costo che la ISO 9001 ha sul portafoglio di una organizzazione: di per sé può considerarsi sostenibile anche alle piccole imprese.
Sistemi di Gestione per la Sicurezza delle Informazioni
Esistono norme molto più complesse e costose, che aiutano soprattutto le imprese medio-grandi o quelle a forte spinta di gestione delle informazioni, a implementare i cosiddetti Sistemi di Gestione per la Sicurezza delle Informazioni, quali la ISO/IEC 27001. Questa norma internazionale consente la scelta di controlli di sicurezza adeguati per proteggere le informazioni interne, ma anche quelle che le sono affidate dall’esterno.
Mentre il GDPR riguarda la protezione dei dati delle persone fisiche, la ISO 9001 aiuta le organizzazioni a lavorare secondo un metodo “responsabile”, soprattutto laddove per dimensione, budget e competenze, non si ha la possibilità di fare forti investimenti in termini di risorse umane e non. Dal canto suo, la ISO 27001 mira a salvaguardare le informazioni aziendali ma, non per questo, l’essere certificati ISO/IEC (e quindi tantomeno ISO 9001) è condizione necessaria e sufficiente per ritenere una organizzazione compliant al Regolamento.
Di ciò si trova riscontro, ad esempio, nel controllo A.18.1.4 della 27001 che richiede “A good control describes how privacy and protection of personally identifiable information is assured for relevant legislation and regulation. Any information handled that contains personally identifiable information (PII) is likely to be subject to the obligations of legislation and regulation“.
Di seguito abbiamo provato a raccogliere e schematizzare alcuni aspetti delle norme provando a mettere ordine ai diversi orientamenti:
| GDPR | UNI EN ISO 9001:2015 | ISO/IEC 27001 | |
| Definizione | Regolamento Europeo per la protezione dei dati | Norma internazionale per i Sistemi di Gestione per la Qualità | Norma che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni. |
| Scopo | Definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea. | Scopo primario è il perseguimento della soddisfazione del cliente in merito ai prodotti e servizi forniti, il miglioramento continuo delle prestazioni aziendali, permettendo all’azienda certificata di assicurare il mantenimento e il miglioramento nel tempo della qualità dei propri beni e servizi | Scopo primario è quello di dimostrare che l’organizzazione sta seguendo delle best practice e che le informazioni sono protette in modo adeguato. Fornisce i requisiti per l’implementazione, il mantenimento ed il miglioramento di un sistema di gestione della sicurezza delle informazioni |
| Caratteristica | Obbligatoria | Volontaria | Volontaria |
| Ambito di applicazione | Il GDPR riguarda “il trattamento dei dati personali in tutto o in parte con mezzi automatizzati …” in un contesto aziendale o organizzativo; gli usi esclusivamente personali non vi rientrano (art.2) | Si applica all’interno di aziende o organizzazioni | Si applica all’interno di aziende o organizzazioni |
| Territorialità | Trattamento di dati personali effettuati da un titolare del trattamento (o responsabile del trattamento) che risiede nell’Unione, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno nell’Unione
Al trattamento di dati personali di persone fisiche (interessati) che si trovano nell’Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell’Unione quando offrono beni e servizi ai residenti UE e monitorano il comportamento dei residenti UE (art.3) |
Internazionale | Internazionale |
| Punti di contatto | Riservatezza, confidenzialità e integrità dei dati
(Artt. 5 e 32) |
Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacita di soddisfare i requisiti cogenti applicabili. | I diversi controlli mirano a garantire la riservatezza, la disponibilità e l’integrità dei dati attraverso la creazione di un programma di sicurezza. |
| Privacy by design
(Art.25) |
“Stabilire, attuare e mantenere un processo di progettazione e sviluppo appropriato ad assicurare la successiva fornitura di prodotti ed erogazione di servizi” (Par. 8.3). Nel determinare gli input alla progettazione è necessario raccogliere tutta una serie di informazioni che permettano di effettuare i trattamenti in conformità al GDPR (Par. 8.3.3). Vedi articolo: La privacy by design in un contesto di compliance con la ISO 9001: un possibile modello di integrazione. | 4.1 Understanding the organization and its context.
6.1 Actions to address risks and opportunities A12 Operations Security A18 Compliance |
|
| Responsabile del trattamento
(Art.28) |
Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacità di soddisfare i requisiti cogenti applicabili (ad esempio un processo di accreditamento, un Albo fornitori, un accordo formale) | A15 Supplier Relationships
A18 Compliance |
|
| Registri delle attività di trattamento
(Art.30) |
Conservazione documentata delle informazioni, anche attraverso la tenuta e l’aggiornamento del Registro dei trattamenti (Par. 8.3.5) | A8 Asset management.
A18 Compliance. |
|
| Data Breach
(Artt.33 e 34) |
Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacita di soddisfare i requisiti cogenti applicabili | A16 Information security incident management
A18 Compliance |
|
| Valutazione di impatto sulla protezione dei dati
(Art.35) |
Risk based thinking: il modello offerto agisce come strumento preventivo, attraverso la comprensione del contesto e la determinazione dei rischi, quale base per la pianificazione ed attuazione dei processi (Par. 6.1) | 6.1.2 Information security risk assessment for ISO 27001
6.1.3 Information security risk treatment for ISO 27001 A18 Compliance |
Infine, va citata la recente introduzione della ISO/IEC 27701:2019. Questa norma indica i requisiti e fornisce una guida per lo sviluppo e il mantenimento di un sistema di gestione delle informazioni per la protezione della privacy (PIMS – Privacy Information Management System) con l’estensione dello standard ISO/IEC 27001 e della linea guida ISO/IEC 27002. Di particolare interesse risulta l’allegato “Annex D” che riporta la mappature delle clausole ISO 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR. Per un ulteriore approfondimento si consiglia l’articolo di Marco Toiati: ISO 27701 per la protezione dei dati personali: realizzare un Privacy Information Management System.
