DALLA ISO 27701 GLI STANDARD PER I SISTEMI DI GESTIONE PRIVACY, MA NON PER LA CERTIFICAZIONE GDPR

Ad agosto è stata pubblicata la norma per la privacy in azienda denominata ISO 27701. Non risulta ancora, al momento, nel catalogo delle norme UNI per cui non è adottata a livello nazionale ma presto verrà recepita come tutte le norme importanti della famiglia ISO 27001 la quale è congiunta con il settore “elettrico” (ISO/IEC) e ha validità “erga omnes”.

La nuova norma è a tutti gli effetti una estensione della ISO 27001, norma contrattuale, applicabile a tutto il sistema informativo con un approccio ai rischi, adatta per dimostrare la conformità alle disposizioni di legge ed ai requisiti del cliente.

La ISO 27001 è la guida di ogni progetto sulla sicurezza delle informazioni, anche il GDPR ha tratto molti spunti da essa. La nuova ISO 27701 è una norma gestionale, che all’interno del sistema informativo generale si focalizza sui “must” dei sistemi legati ai dati personali, in particolare aggiunge concetti non banali come la libertà, i diritti e le responsabilità.

La norma ISO 27701 non è allineata al GDPR infatti quest’ultimo vede la certificazione offerta dagli enti “privati” e dal mercato come una certificazione di specifiche caratteristiche della protezione, tutela o commercio dei dati personali e non come un “sistema privacy” interno all’azienda. Quindi il GDPR vede la certificazione come un marchio di qualità specifico e non un sistema come è la ISO 27701.

Chiama ora!