Certificazioni e GDPR: limiti ed opportunità
Gli schemi di certificazione per la conformità GDPR rappresentano opportunità alle aziende, ma nascondono anche limiti che è bene approfondire per avere un quadro completo.
Alcune FAQ dell’Autorità Garante ci dicono che “Le certificazioni rappresentano uno strumento utile per i titolari e i responsabili del trattamento a dimostrare il rispetto degli obblighi, le garanzie sufficienti e la conformità ai requisiti di protezione dei dati”.
Vediamone alcuni insieme
ISO 9001
Sia nel regolamento che nella normativa è prevista l’individuazione di figure (organigramma) necessarie per l’attuazione delle rispettive regole, poi è richiamato il concetto di competenza del personale e di consapevolezza facendo acquisire alla formazione un ruolo centrale in quanto deve essere obbligatoria e valorizzata. Infine, ogni realtà aziendale deve garantire la compliance di ogni processo aziendale, sia interno che esterno, al fine di garantire il trattamento dei dati personali di ogni dipendente, collaboratore, fornitore e cliente
ISO 31000
Può essere l’impianto base per la gestione del rischio dal momento che ci da principi e linee guida generali.
L’impianto può essere utilizzato da qualsiasi organizzazione e non presenta specificità per settore industriale o di mercato.
L’adozione di questa normativa può riguardare l’intero ciclo di vita di un’organizzazione, ed essere utilizzata in molteplici attività (es. processi, progetti, servizi, beni, ecc.) rispetto ai quali determinare la rischiosità. Per questo possiamo considerare la ISO 31000 come base del modello di Valutazione del Rischio Privacy da definire in seguito.
ISO 27000
Rispettare la norma ISO 27001 non significa essere GDPR compliant. Questa norma si occupa dei sistemi di gestione della sicurezza delle informazioni.
Le informazioni prese in considerazione dall’ISO 27000 comprendono tutti i dati rilevanti per un’azienda: progetti, comunicazioni, brevetti, know-how, lavoarazioni, procedure e le anagrafiche di ogni dipendente, collaboratore, fornitore e cliente.
Qui le misure tecniche ed organizzative con cui si proteggono dati personali ed altre informazioni possono corrispondere.
Ora in base a quanto previsto dal GDPR e alla luce delle linee-guida 1/2018 dell’EDPB (European Data Protection Board) in materia, l’oggetto della certificazione è un trattamento di dati personali. Nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (es. il servizio di gestione del personale di un’azienda). Ma attenzione : una certificazione ai sensi del GDPR non può, tuttavia, riguardare un singolo prodotto!
Quindi le certificazioni facoltative possono esser un bene per l’azienda ma solo se si è consapevoli, come interessati, dei limiti che contraddistinguono tali strumenti.
Approfondisci qui https://bit.ly/3vF6xWP