GDPR e ISO 27001

Mi è stato chiesto se lo Standard ISO 27001 (la denominazione completa è UNI EN ISO/IEC 27001:2005 e la versione più recente della norma è del 2017) possa essere d’aiuto nell’ambito delle procedure di sicurezza adottate ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati (GDPR).

Com’è noto, l’articolo 32 del GDPR impone alle aziende misure tecniche ed organizzative adeguate alla protezione dei dati personali trattati dal Titolare del trattamento e richiede, tra le altre cose, di:

• adottare misure per la pseudonimizzazione e cifratura dei dati personali;
• garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
• ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
• implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Sotto questo profilo, lo standard ISO 27001 per la gestione della sicurezza delle informazioni costituisce senz’altro un valido “alleato” del Titolare del trattamento, dato che si tratta di uno standard internazionale collaudato che ricomprende una serie di best practice utili a sviluppare la capacità delle aziende di gestire i rischi legati alla protezione dei dati, proprio come richiesto dal GDPR.

Lo standard ISO 27001 ha un raggio di operatività più ampio rispetto agli obiettivi del GDPR perché coinvolge l’intero patrimonio di informazioni gestite dall’azienda – quindi non aventi natura di dati personali – ma, al di là della sua più estesa applicazione, è generalmente considerato un criterio di sicurezza eccellente anche in ottica GDPR.

I principali punti di contatto tra il GDPR e la norma ISO 27001 possono individuarsi nei seguenti:

1. Risk assessment: la ISO 27001 utilizza i concetti di risk management come base per decidere azioni e misure da adottare per garantire la sicurezza dei dati e delle informazioni, esattamente come prevede anche il GDPR per la sicurezza dei dati personali.
2. Compliance: con l’implementazione dello standard ISO 27001 è obbligatorio avere un elenco rilevante di requisiti legislativi, regolamentari, normativi e contrattuali. L’articolo A.18.1.4 dello Standard ISO 27001 è dedicato proprio alla “Privacy e protezione dei dati personali” e guida le organizzazioni nell’attuazione di una politica di protezione di dati e delle informazioni personali conforme alle normative di riferimento.
3. Asset management: la ISO 27001 include la gestione dei dati personali come attività di sicurezza delle informazioni e consente alle aziende di capire dove sono impiegati tali dati, per quanto tempo, la loro origine e chi ne ha accesso. Tutte queste informazioni, come noto, sono parte dei requisiti richiesti dal GDPR.
4. Privacy by Design: il concetto di “privacy by design” previsto dall’art. 25 del GDPR è richiamato anche dallo standard ISO ISO 27001, che specifica: “la sicurezza delle informazioni è parte integrante dei sistemi informativi durante il loro intero ciclo di vita”.
5. Rapporti con i fornitori: la ISO 27001 mette in rilievo anche la necessità di “proteggere i beni dell’organizzazione che sono accessibili dai fornitori”, richiamando l’onere di diligenza imposto dal GDPR a carico del Titolare del trattamento nella scelta e nella valutazione di affidabilità dei propri Responsabili del trattamento.

Ancorché la ISO 27001 non possa essere considerata quale certificazione valida ai sensi dell’art. 42 GDPR, è, comunque, corretto, in base alle considerazioni di cui sopra, ritenere tale standard internazionale un efficace strumento per la sicurezza dei dati personali trattati dall’azienda .

E’, comunque, importante ricordare che la semplice esistenza della certificazione ISO 27001 non esenta sic et simpliciter il Titolare del trattamento da responsabilità nel caso si verifichino eventi dannosi relativi alla sicurezza dei dati ma è, comunque, in grado di minimizzare le possibilità di accadimento e mitigare gli eventuali danni.