BM Trada Logo Library
Richiedi un preventivo
Home Risorse Blog Novembre 2018

ISO 27001 vs GDPR - Mapping

23 novembre 2018
Quali sono le similitudini tra GDPR e lo Standard Internazionale ISO 27001? Sei mesi dopo l'implementazione del GDPR cosa abbiamo imparato?

Questo post spiega ulteriormente le similitudini tra il GDPR e lo Standard Internazionale ISO 27001:2013 e include una guida per spiegare come l'adozione dello standard può aiutarti a raggiungere la conformità con le nuove normative.

Cos'è il GDPR?

Nell'attuale ambiente digitale in continua evoluzione, la protezione dei dati personali è diventata più critica che mai. Poiché le violazioni dei dati si verificano con maggiore frequenza, gli standard di sicurezza informatica che sono stati messi in atto 20 anni fa non sono più sufficienti per proteggere le informazioni di aziende e clienti che interagiscono online. Più grande è il database, più gravi sono le conseguenze di una violazione per le parti interessate.

Il GDPR ha lo scopo di risolvere i problemi di sicurezza emersi negli ultimi due decenni dallo sviluppo della tecnologia cloud e il suo impatto sulla sicurezza dei dati.

Il regolamento generale sulla protezione dei dati (GDPR) è stato sviluppato dall'Unione Europea per fungere da soluzione legislativa alle questioni relative alla protezione dei dati nel presente.
La normativa è progettata per proteggere i dati dei clienti nel nuovo ambiente digitale. In un'epoca in cui aziende come Facebook e Google condividono i dati personali dei titolari di account in cambio dell'accesso al sito e di molte funzionalità, il GDPR cerca di restituire un maggiore controllo della situazione all'utente.

L'altro scopo per cui è stato pensato il GDPR è di stabilire un insieme chiaro di regolamenti in base al quale le imprese possono operare in merito alla gestione dei dati dei clienti. Con queste nuove regole sarà più facile per le aziende guadagnare e mantenere la fiducia dei clienti.

La legge offrirà inoltre più potere ai cittadini in merito a ciò che le società possono fare con i dati privati. Anche se la nuova legge sarà vantaggiosa per tutte le parti, il GDPR è stato progettato per proteggere i consumatori.

I timori per attacchi hacker potranno essere ridotti grazie alle nuove normative.
Con le leggi sulla protezione dei dati più chiaramente definite in tutta l'UE, il GDPR potrebbe far risparmiare all'economia aziendale europea circa €2,5 miliardi all'anno. Questo risparmio, a sua volta, potrebbe essere trasmesso ai consumatori.

Controller & Processor

I due soggetti nel campo della sicurezza dei dati che sono direttamente interessati dall'implementazione del GDPR sono i controller e i processor delle informazioni digitali.

Secondo l'articolo 4 del GDPR dell'UE, i ruoli diversi sono identificati come indicato di seguito:


Pertanto, le organizzazioni che determinano i mezzi di trattamento dei dati personali sono controller, indipendentemente dal fatto che raccolgano direttamente i dati dagli interessati. Ad esempio, una banca (controller) raccoglie i dati dei propri clienti quando aprono un account, ma è un'altra organizzazione (processor) che archivia, digitalizza e cataloga tutte le informazioni prodotte su carta dalla banca. Queste società possono essere società di gestione di documenti o di datacenter. Entrambe le organizzazioni (controllore e responsabile del trattamento) sono responsabili della gestione dei dati personali di questi clienti.

Il responsabile del trattamento dei dati rimane responsabile di garantire che il suo trattamento sia conforme al GDPR. È responsabilità del Controller determinare come monitora e valuta il processor.

I responsabili del trattamento dei dati sono soggetti a obblighi legali diretti ai sensi del GDPR in settori quali la sicurezza e la tenuta dei registri. I controller GDPR possono utilizzare solo processor che forniscono garanzie sufficienti per attuare misure tecniche e organizzative adeguate in modo che l'elaborazione soddisfi i requisiti del GDPR e la protezione dei diritti dell'interessato. Se i processor violano i loro obblighi diretti, possono essere multati dalle Autorità di Vigilanza e ritenuti responsabili congiuntamente con il controller per la totalità dei danni, a meno che non possano provare di non essere in alcun modo responsabili per l'evento.

Elaborazione delle Informazioni

Ai sensi dell'articolo 5 del GDPR, il controller è responsabile e può dimostrare di essere conforme ai principi relativi al trattamento dei dati personali. Questi sono:


In base all'articolo 28 del GDPR, "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato."

Quando il GDPR è stato implementato, il 25 maggio 2018, i responsabili del trattamento sono stati obbligati per legge a elaborare i dati degli utenti dell'UE per scopi specifici in completa trasparenza. Una volta che lo scopo è stato completato, e le entità di controllo/elaborazione non hanno alcuna necessità legale per i dati di un dato utente, i dati devono essere cancellati. Pertanto, i dati personali non verranno più archiviati in maniera idonea e indefinita su server che potrebbero essere compromessi in qualsiasi momento.

Per i dati personali dei residenti dell'UE che devono essere trattati legittimamente ai sensi del GDPR, dovrà essere applicata almeno una delle giustificazioni menzionate di seguito. La legge è progettata per mettere gli interessi degli utenti online al di sopra delle entità che potrebbero essere intenzionate a sfruttare o condividere dati personali.

Consenso

Perchè i controller ottengano l'approvazione di un individuo, la persona deve dare il consenso attraverso un'azione diretta e confermata. Lo standard di giustificazione preesistente, che consente ai responsabili del trattamento di utilizzare i dati solo con l'accettazione passiva da parte della persona, non sarà sufficiente ai sensi del GDPR.

È responsabilità del controller tenere un registro dell'ora, della data e dei mezzi attraverso i quali una persona ha dato il suo consenso e di rispettare il desiderio della persona di recedere in qualsiasi momento. Qualsiasi azienda, ente di beneficenza o ente governativo che non sia attualmente conforme a questi nuovi regolamenti dovrà adeguarsi con nuovi protocolli. Per molte aziende, l'implementazione degli standard di best practice ha reso questa transizione molto più semplice.

I sistemi di archiviazione dati o i backup devono essere sviluppati in modo da proteggere i dati e mantenere la loro privacy. Le organizzazioni potrebbero dover completare una verifica dei dati per garantire che i dati personali detenuti da un processor o controller lo facciano in linea con il GDPR. Ciò consentirà alle organizzazioni di identificare dove il consenso è stato concesso correttamente e di cancellare i record in cui il consenso non è stato o non può essere ottenuto.

La categoria che costituisce i dati privati ​​all'interno dell'UE è diventata molto più ampia nell'ambito del GDPR. In risposta al tipo di informazioni che le aziende ora raccolgono dalle persone, le informazioni sul computer e sulla posizione di un utente, come indicato da un indirizzo IP, saranno ora considerati dati privati. Altre informazioni, come la storia finanziaria, psicologica o etnica di un individuo, saranno anche definite come informazioni personali.

I dati personali sono definiti come qualsiasi cosa in grado di identificare, direttamente o indirettamente, una persona fisica come un nome, una foto, un indirizzo e-mail - che include email di lavoro, dettagli bancari, dati biometrici e genetici di informazioni mediche o persino un indirizzo IP del computer.

Una persona può richiedere di visionare i propri dati privati ​​a intervalli ragionevoli, come definito dal GDPR. Secondo la nuova legge, i controller sono obbligati a rispondere alla richiesta dell'utente entro 30 giorni. Le nuove norme richiedono inoltre ai responsabili del trattamento di mantenere politiche di trasparenza in merito ai mezzi attraverso i quali i dati vengono raccolti, utilizzati e trattati. Il linguaggio usato per spiegare questi processi alle persone deve essere formulato in termini semplici, chiari e non essere disseminato di gergo tecnico confuso.

Ogni individuo ha diritto ad accedere a qualsiasi proprio dato privato detenuto da una società. Inoltre, ogni individuo ha il diritto di sapere per quanto tempo le sue informazioni saranno memorizzate, quali parti avranno la possibilità di vederle e le ragioni per cui i dati vengono utilizzati. Ove possibile, i controller saranno incoraggiati ad offrire un accesso sicuro alla visione dei dati per gli individui vogliano vedere le proprie informazioni personali. Le persone saranno in grado anche di richiedere che i dati errati o incompleti vengano corretti in qualsiasi momento.

Una persona può richiedere che i suoi dati vengano cancellati in qualsiasi momento, per qualsiasi motivo, in base a una clausola del GDPR nota come "diritto all'oblio". Se una persona ritiene che i suoi dati non siano più essenziali per lo scopo originale della sua raccolta - come quando viene raccolto un indirizzo per verificare che una persona soddisfi i requisiti geografici per la partecipazione a un concorso o sondaggio - può essere fatta una richiesta per rimuovere le informazioni da un database.

Quando viene fatta una richiesta di oblio, il responsabile del trattamento è obbligato a informare Google e altre organizzazioni di raccolta dati che tutte le copie e i collegamenti a tali dati devono essere cancellati. Il rischio che le informazioni personali inattive arrivino parti terze sarà notevolmente ridotto a norma della nuova legge.
Il GDPR consente di addebitare in via eccezionale una commissione amministrativa per richieste infondate, eccessive o ripetitive. Le organizzazioni possono anche rifiutare di rispondere alla richiesta, ma è necessario essere in grado di dimostrare la natura infondata, eccessiva o ripetitiva della richiesta.

Violazioni e Notifiche di Violazione

Qualsiasi organizzazione che raccolga i dati privati ​​degli utenti è tenuta a segnalare notizie di una violazione dei dati a un'autorità di protezione. Le notizie devono essere segnalate entro 72 ore dal momento in cui la violazione diventa nota all'organizzazione. In Italia, il Garante per la protezione dei dati personali è l'autorità in materia.

La mancata notifica al Garante Privacy entro 72 ore potrebbe comportare una multa fino al 2% del fatturato annuale globale di un'azienda o fino a €10 milioni. Rispetto alle precedenti multe, le sanzioni previste dal GDPR sono molto più rigide.

Il termine di 72 ore per segnalare una violazione non sempre darà a un'organizzazione tempo sufficiente per apprendere la natura completa di un particolare reato, ma dovrebbe fornire tempo sufficiente per raccogliere informazioni adeguate per l'autorità circa il tipo di dati che saranno interessati dalla violazione. Altrettanto importante, un'organizzazione dovrebbe essere in grado di dare una stima approssimativa del numero di persone che saranno colpite dalla violazione. In questo modo, le parti potenzialmente interessate avranno più tempo per reagire.

Se un'organizzazione non rispetta i principi fondamentali del GDPR - come ottenere il consenso, rispettare i diritti e obbedire alle richieste dei singoli - l'organizzazione potrebbe incorrere in multe due volte più alte di quelle imposte per mancata segnalazione di una violazione dei dati. Secondo il GDPR, la multa per non aver rispettato la nuova legge potrebbe essere pari al 4% delle entrate globali di un'azienda, o una multa di  €20 milioni.

Cos'è la ISO 27001:2013?

Le organizzazioni di tutto il mondo che stanno approfondendo il GDPR sono probabilmente consapevoli del fatto che i regolamenti sono un incoraggiamento ad adottare schemi di best practice.

ISO 27001 è uno standard di sicurezza delle informazioni che aiuta le aziende a conformarsi ai modelli internazionali di best practice. Lo standard copre tre componenti chiave della sicurezza dei dati:

Quando si adottano misure per salvaguardare i dati tenendo conto di queste tre componenti, le aziende sono meglio attrezzate per proteggere le informazioni, mitigare i rischi e rettificare procedure ritenute inefficaci. È emerso un crescente consenso nel settore aziendale verso ISO 27001 che viene ritenuto ormai il gold standard nei programmi di best practice.

Certificarsi secondo lo standard ISO 27001, attiva un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS) che opera all'interno della cultura aziendale della società in questione. Lo standard viene regolarmente aggiornato e migliorato e questi miglioramenti continui consentono all'ISMS di rimanere al passo con i cambiamenti sia all'interno che all'esterno dell'azienda, individuando ed eliminando nuovi rischi.

Se hai già ottenuto la certificazione ISO 27001:2013, potresti aver notato alcune similitudini tra lo standard e il GDPR.

Come mi può aiutare lo standard ISO 27001:2013?

È progettato per supportare la riservatezza, l'integrità e la disponibilità delle tue informazioni e aiutarti a mantenere la conformità legale. Ti aiuta a proteggere i tuoi dati da crimini informatici, uso improprio, incendio, furto e altre minacce.

Avere la certificazione ISO 27001 darà ai tuoi clienti più fiducia nella tua azienda e migliorerà le tue relazioni con gli altri stakeholder e ti aiuterà a mitigare i rischi.


Un esempio comune di "Riservatezza" è una transazione online condotta con metodi sicuri, come l'uso della crittografia, in base al quale le informazioni sono protette tramite HTTPS.

Per quanto riguarda "Integrità", un esempio è l'affidabilità delle informazioni sul conto finanziario del cliente (ad esempio, conti bancari, informazioni personali) detenute da una banca per lo svolgimento di transazioni operative giornaliere.

Per quanto riguarda la "disponibilità", ciò riguarda per esempio i server Web di una banca che si interfacciano con i server che ospitano il portale dell'online banking, ai quali i clienti possono accedere in qualsiasi momento della giornata.

La ISO 27001:2013 è sufficiente?

Seppure ci sono alcune aree previste dal GDPR che non sono invece previste dalla la norma ISO 27001 - come il diritto di un soggetto di avere modificati o cancellati i propri dati - lo standard copre la maggior parte dei requisiti della nuova legge in virtù del fatto che i dati privati ​​sono riconosciuti come asset di sicurezza delle informazioni secondo la norma ISO 27001. Come tali, lo standard e le nuove normative condividono le stesse opinioni sulla sicurezza dei dati.

La ISO 27001 ha un ambito più ampio rispetto a GDPR in quanto si applica ai dati critici di un'azienda e ai dati personali. Lo standard ISO può essere utilizzato per proteggere i dati personali e altre informazioni. GDPR copre anche diverse aree che ISO 27001 non prevede, come il diritto all'oblio, la portabilità dei dati e il diritto di essere informati sui dati personali.

ISO 27001 non affronta esplicitamente questi diritti, ma un ISMS può supportarti nel soddisfare questi requisiti. Poiché ISO 27001 non include specificamente questi diritti, la certificazione non garantisce necessariamente la conformità al GDPR. Ma sicuramente ti sosterrà nei tuoi obiettivi di conformità GDPR e ti avvicinerà al raggiungimento di tali obiettivi.

Poiché i due standard presentano alcune differenze in ciò che coprono, tutte le aziende certificate ISO 27001 interessate dal GDPR dovrebbero condurre una gap analysis. Questa valutazione, che NQA può eseguire, fornirà informazioni su dove ti trovi ora e su cosa devi modificare per adeguarti al GDPR. Identifica le lacune tra i sistemi attuali e quelli che si desidera seguire.

Download della mapping table, nota: questa tabella non costituisce una consulenza legale per soddisfare i requisiti del Regolamento Europeo sulla Protezione dei Dati (EU GDPR).

Dopo aver esaminato la tabella, si noti che i punti della ISO 27001 senza il prefisso 'A' sono nel corpo principale di ISO/IEC 27001:2013. Quelli con prefisso 'A' sono elencati nell'Allegato A della norma ISO 27001:2013 e sono illustrati più dettagliatamente in ISO 27002:2013 - uno standard di riferimento supplementare sui controlli di sicurezza delle informazioni.