Analisi esperta

Il GDPR e le norme ISO, un’integrazione possibile per il sistema privacy

Un confronto tra il Regolamento Europeo per la Protezione dei Dati e le principali norme internazionali. Un’analisi di definizione, scopo, caratteristica, ambito di applicazione, territorialità e punti di contatto

Pubblicato il 24 Gen 2020

Andrea Citterio

Privacy Officer

gdpr sanzioni

Un’organizzazione che assicura la propria conformità alle norme ISO ha già compiuto un importante passo in avanti verso il riconoscimento di un sistema che protegga a 360 gradi le informazioni e i diritti delle persone fisiche. L’integrazione tra il GDPR e le norme ISO può rispondere all’esigenza delle organizzazioni di avere il controllo, all’interno dei propri processi, soprattutto in fase di progettazione, delle regole previste dal GDPR. L’utilizzo di uno o più documenti condivisibili con tutti gli attori interessati alla progettazione, permette di raccogliere tutte le informazioni necessarie affinché l’output della stessa sia compliant al Regolamento europeo, tutelando i diritti e le libertà delle persone fisiche.

Tuttavia, esiste un’opinione secondo la quale la norma sopra citata non sarebbe di per sé sufficiente a soddisfare i requisiti richiesti dal GDPR, in quanto il dato personale, essendo per definizione immateriale, non può essere trattato alla stregua di un prodotto fisico e quindi calato nell’ottica di una filiera produttiva. Il concetto espresso è valido anche se è riduttivo calare la ISO 9001 a semplice norma “manifatturiera” (come sovente viene definita). Va estrapolato il concetto per il quale la norma permette all’organizzazione di imparare, attraverso procedure ben scritte, a mappare i processi, adottare modelli, verificare e riesaminare l’output delle proprie azioni, ragionare in termini di rischio e aggiornare periodicamente la documentazione. Un metodo che aiuterà l’impresa a ragionare secondo un modello ben organizzato che la faciliterà a tenere sotto controllo anche il sistema privacy. Non solo. Un aspetto importante nell’ottica di gestione d’impresa, è il costo che la ISO 9001 ha sul portafoglio di una organizzazione: di per sé può considerarsi sostenibile anche alle piccole imprese.

Sistemi di Gestione per la Sicurezza delle Informazioni

Esistono norme molto più complesse e costose, che aiutano soprattutto le imprese medio-grandi o quelle a forte spinta di gestione delle informazioni, a implementare i cosiddetti Sistemi di Gestione per la Sicurezza delle Informazioni, quali la ISO/IEC 27001. Questa norma internazionale consente la scelta di controlli di sicurezza adeguati per proteggere le informazioni interne, ma anche quelle che le sono affidate dall’esterno.

Mentre il GDPR riguarda la protezione dei dati delle persone fisiche, la ISO 9001 aiuta le organizzazioni a lavorare secondo un metodo “responsabile”, soprattutto laddove per dimensione, budget e competenze, non si ha la possibilità di fare forti investimenti in termini di risorse umane e non. Dal canto suo, la ISO 27001 mira a salvaguardare le informazioni aziendali ma, non per questo, l’essere certificati ISO/IEC (e quindi tantomeno ISO 9001) è condizione necessaria e sufficiente per ritenere una organizzazione compliant al Regolamento.

Di ciò si trova riscontro, ad esempio, nel controllo A.18.1.4 della 27001 che richiede “A good control describes how privacy and protection of personally identifiable information is assured for relevant legislation and regulation. Any information handled that contains personally identifiable information (PII) is likely to be subject to the obligations of legislation and regulation“.

Di seguito abbiamo provato a raccogliere e schematizzare alcuni aspetti delle norme provando a mettere ordine ai diversi orientamenti:

GDPRUNI EN ISO 9001:2015ISO/IEC 27001
DefinizioneRegolamento Europeo per la protezione dei datiNorma internazionale per i Sistemi di Gestione per la QualitàNorma che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni.
ScopoDefinitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.Scopo primario è il perseguimento della soddisfazione del cliente in merito ai prodotti e servizi forniti, il miglioramento continuo delle prestazioni aziendali, permettendo all’azienda certificata di assicurare il mantenimento e il miglioramento nel tempo della qualità dei propri beni e serviziScopo primario è quello di dimostrare che l’organizzazione sta seguendo delle best practice e che le informazioni sono protette in modo adeguato. Fornisce i requisiti per l’implementazione, il mantenimento ed il miglioramento di un sistema di gestione della sicurezza delle informazioni
CaratteristicaObbligatoriaVolontariaVolontaria
Ambito di applicazioneIl GDPR riguarda “il trattamento dei dati personali in tutto o in parte con mezzi automatizzati …” in un contesto aziendale o organizzativo; gli usi esclusivamente personali non vi rientrano (art.2)Si applica all’interno di aziende o organizzazioniSi applica all’interno di aziende o organizzazioni
TerritorialitàTrattamento di dati personali effettuati da un titolare del trattamento (o responsabile del trattamento) che risiede nell’Unione, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno nell’Unione

Al trattamento di dati personali di persone fisiche (interessati) che si trovano nell’Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell’Unione quando offrono beni e servizi ai residenti UE e monitorano il comportamento dei residenti UE (art.3)

InternazionaleInternazionale
Punti di contattoRiservatezza, confidenzialità e integrità dei dati

(Artt. 5 e 32)

Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacita di soddisfare i requisiti cogenti applicabili.I diversi controlli mirano a garantire la riservatezza, la disponibilità e l’integrità dei dati attraverso la creazione di un programma di sicurezza.
Privacy by design

(Art.25)

Stabilire, attuare e mantenere un processo di progettazione e sviluppo appropriato ad assicurare la successiva fornitura di prodotti ed erogazione di servizi” (Par. 8.3). Nel determinare gli input alla progettazione è necessario raccogliere tutta una serie di informazioni che permettano di effettuare i trattamenti in conformità al GDPR (Par. 8.3.3). Vedi articolo: La privacy by design in un contesto di compliance con la ISO 9001: un possibile modello di integrazione.4.1 Understanding the organization and its context.

6.1 Actions to address risks and opportunities

A12 Operations Security

A18 Compliance

Responsabile del trattamento

(Art.28)

Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacità di soddisfare i requisiti cogenti applicabili (ad esempio un processo di accreditamento, un Albo fornitori, un accordo formale)A15 Supplier Relationships

A18 Compliance

Registri delle attività di trattamento

(Art.30)

Conservazione documentata delle informazioni, anche attraverso la tenuta e l’aggiornamento del Registro dei trattamenti (Par. 8.3.5)A8 Asset management.

A18 Compliance.

Data Breach

(Artt.33 e 34)

Integrabile a livello generale da processi o documentazione di sistema in grado di garantire la capacita di soddisfare i requisiti cogenti applicabiliA16 Information security incident management

A18 Compliance

Valutazione di impatto sulla protezione dei dati

(Art.35)

Risk based thinking: il modello offerto agisce come strumento preventivo, attraverso la comprensione del contesto e la determinazione dei rischi, quale base per la pianificazione ed attuazione dei processi (Par. 6.1)6.1.2 Information security risk assessment for ISO 27001

6.1.3 Information security risk treatment for ISO 27001

A18 Compliance

Infine, va citata la recente introduzione della ISO/IEC 27701:2019. Questa norma indica i requisiti e fornisce una guida per lo sviluppo e il mantenimento di un sistema di gestione delle informazioni per la protezione della privacy (PIMSPrivacy Information Management System) con l’estensione dello standard ISO/IEC 27001 e della linea guida ISO/IEC 27002. Di particolare interesse risulta l’allegato “Annex D” che riporta la mappature delle clausole ISO 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR. Per un ulteriore approfondimento si consiglia l’articolo di Marco Toiati: ISO 27701 per la protezione dei dati personali: realizzare un Privacy Information Management System.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Andrea Citterio
Privacy Officer

Argomenti


Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4