I punti di connessione tra la certificazione ISO 27001 e il nuovo Regolamento sulla Privacy
Il GDPR 2018 è la nuova Normativa Europea sul Trattamento dei dati personali, emanata nel 2016 e che entrerà in vigore dal 25 maggio 2018. Come abbiamo già affrontato in un precedente articolo, il Regolamento segnerà una svolta epocale in materia di gestione dei dati personali degli utenti e riguarderà tutti i Paesi della Comunità Europea.
Per non farsi trovare impreparati al GDPR 2018 e al nuovo modo di trattare i dati personali, molte aziende dovranno rinnovare profondamente le modalità di raccolta e gestione delle informazioni degli utenti. Si tratta di un aggiornamento molto importante, gravoso soprattutto per coloro i quali, nel corso degli anni, non hanno provveduto a migliorare questo fondamentale processo aziendale.
Proteggere il patrimonio di dati acquisito nel corso del tempo e assecondare agevolmente i parametri imposti dal nuovo Regolamento Europeo sulla Privacy è ora la priorità, ed è scattata la corsa contro il tempo. Un buon punto di partenza per adeguarsi al GDPR è l’aver conseguito la Certificazione ISO/IEC 270001:2013.
Certificazione ISO/IEC 270001:2013: cos’è
La Certificazione ISO/IEC 27001:2013 è uno Standard di livello europeo che certifica la capacità di un’azienda di stabilire, attuare, mantenere e migliorare in modo continuo il sistema di gestione di sicurezza delle informazioni, compresi i requisiti per valutare e trattare i rischi. La Certificazione fa riferimento al solo trattamento tecnologico dei dati; esclude, quindi, sia gli aspetti organizzativi che la gestione “cartacea”.
I punti di contatto con il GDPR
Iniziamo con il dire che essere in possesso della certificazione ISO/IEC 270001:2013 non significa possedere tutti i requisiti necessari per rispettare il GDPR. Tuttavia, lo standard può aiutare le aziende a conformarsi al Regolamento in modo molto più agevole e, per un’azienda, ottenere la certificazione significa essere già a metà strada nel processo di compliance.
Un primo punto di contatto tra GDPR e Certificazione è l’individuazione dei dati personali come un attivo; in quel caso lo standard ISO è in grado di coprire la maggior parte dei requisiti richiesti dal GDPR.
Altro elemento di contatto è la procedura di valutazione dei rischi, uno dei fondamenti dello Standard, che è molto simile alla valutazione dell’impatto sulla protezione dei dati; nel nuovo GDPR questo è uno dei punti fondamentali (Risk assessment).
Lo Standard ISO 27001 può essere molto utile anche nella gestione o nell’inventario dell’attivo. IL GDPR richiede infatti la descrizione esplicita del modo in cui i dati vengono trattati, dove vengono raccolti, per quanto tempo e chi può accedervi (Asset Management). In quel caso la Certificazione è un ottimo punto dal quale partire per conformarsi al Regolamento.
La Certificazione Internazionale può facilitare la gestione della segnalazione delle brecce di sicurezza, elemento fondamentale nel GDPR. Lo standard assicura infatti la capacità dell’organizzazione di gestire in modo efficace e coerente le informazioni sugli incidenti di sicurezza.
Altri punti di contatto: Privacy By design
La Privacy By Design riguarda il principio di incorporazione della privacy nella fase di progettazione dei processi aziendali, che prevede determinati meccanismi di sicurezza per garantire il trattamento esclusivo; tale principio diviene obbligatorio con il GDPR e nella Certificazione viene specificato con “la sicurezza delle informazioni è parte integrante dei sistemi informativi durante il loro intero ciclo di vita.”
Cosa significa la Certificazione ISO/IEC 27001:2013 per un’azienda
Essere in possesso dello Standard ISO/IEC 270001:2013 significa innanzitutto far parte di un’organizzazione consapevole dell’importanza della gestione dei dati personali e dei rischi per la sicurezza. Per adeguarsi in modo semplice ed efficace agli standard richiesti dal Nuovo Regolamento Europeo l’organizzazione deve fare un’analisi sul livello di GAP, soddisfare i requisiti mancanti e aggiungerli all’Information Security Management System (ISMS), già richiesta nella Certificazione ISO/IEC 27001.
Mediacom è in possesso della Certificazione ISO/IEC 27001:2013
Mediacom ritiene fondamentale custodire le informazioni dei propri utenti in modo sicuro e professionale. È scopo dell’azienda proteggere il patrimonio di informazioni raccolte e tutelarle da rischi interni ed esterni. In tal senso, l’azienda ha recentemente conseguito la certificazione del Sistema di Gestione di Sicurezza della informazioni, conforme allo standard ISO/IEC 27001:2013.
La certificazione ottenuta si applica a:
- Progettazione ed erogazione di servizi di Contact Center, Ricerche di Mercato e Gestione Crediti;
- Progettazione, sviluppo, installazione e manutenzione software; supporto specialistico e gestione applicativa.
Per consultare la Certificazione ISO/IEC 27001:2013, clicca qui.