L’interoperabilità tra il GDPR e gli standard internazionali ISO “dovrebbe” supportare la gestione dei processi del Titolare e del Responsabile del trattamento dei dati personali definendo capacità per integrare e armonizzare in maniera strutturata i requisiti del GDPR.
Valutando un po’ la questione sotto dei profili non solo teorici:
1) Approcci basati sul rischio: il GDPR richiede alle organizzazioni di valutare e gestire i rischi associati al trattamento dei dati personali. Le norme ISO come la ISO 31000 sulla gestione del rischio, e la ISO 29134 sulle PIA, possono fornire un quadro strutturato per identificare, valutare e trattare i rischi in modo sistemico.
2) Gestione dei processi: le norme ISO offrono metodologie e linee guida per la gestione dei processi aziendali. Ad esempio la ISO 9001 per la gestione della qualità, o la ISO 22301 per la continuità dei processi di business. Relativamente allo standard ISO 28590 per i campionamenti, l’interoperabilità può essere raggiunta incorporando tali metodologie nella Progettazione e nell’Implementazione dei processi aziendali per garantire che il trattamento dei dati personali sia effettuato in modo coerente, affidabile e conforme alle norme del GDPR.
3) Sicurezza delle Informazioni: l’art. 32(1) lett. b) del GDPR pone un’enfasi significativa nelle garanzie di Riservatezza, Disponibilità e Integrità dei dati personali, gli standard ISO 27001 e ISO 27002 forniscono un quadro completo per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, comunemente noto nel mercato italiano come SGSI (ISMS nel mondo anglofono).
4) Controlli e audit: le norme ISO come la ISO 19011 per gli audit dei Sistemi di Gestione, oppure la ISO/IEC 17021-1 per l’audit della Sicurezza delle Informazioni, forniscono orientamenti sulla conduzione di audit interni ed esterni. In buona sostanza, integrando le diverse norme ISO nel contesto del GDPR, i Titolari e i Responsabili dei trattamenti possono beneficiare di un quadro strutturato – e riconosciuto a livello europeo – per affrontare le sfide della Cybersecurity, ma chi di dovere dovrebbe conoscerle, e non solo a chiacchiere… e questa è tutta un’altra storia: prova ad esempio a chiedere al tuo consulente GDPR la differenza pratica dei rischi di Sicurezza Informatica legati all’eventualità di ritrovarsi una backdoor piuttosto che un rootkit nella rete informatica o nei sistemi operativi utilizzati dal cliente…e se non ti sa rispondere, o se pur di farfugliare qualcosa di vagamente sensato si affida a ChatGPT, per il tuo bene (e quello della tua organizzazione) trai tu stesso le conclusioni sull’affidabilità e la preparazione tecnica del tuo consulente.
dmzware.com 