Consulenza ISO/IEC 27701 sul Sistema di Gestione per le Informazioni sulla Privacy a supporto della Conformità al GDPR: creare Valore aziendale
Consulenza ISO 27701: il nostro studio è in grado di fornire una consulenza ISO 27701 per la gestione delle informazioni sulla privacy.
La Norma Internazionale ISO/IEC 27701 specifica i requisiti per progettare, creare, implementare, gestire, monitorare, revisionare, mantenere e migliorare in modo continuo un sistema di gestione per le Informazioni sulla privacy documentato (PIMS).
La norma ISO/IEC 27701 è un’estensione alla privacy dei dati della norma ISO/IEC 27001. Questo standard di sicurezza delle informazioni fornisce una guida per le organizzazioni che desiderano implementare sistemi per supportare la conformità al GDPR e ad altri requisiti sulla privacy dei dati.
La norma ISO/IEC 27701 (Privacy Information Management System – PIMS) delinea un quadro per le informazioni di identificazione personale per la gestione della privacy. I sistemi di gestione delle informazioni sulla privacy vengono anche definiti come sistemi di gestione delle informazioni personali.
Adottare la norma ISO/IEC 27701 riduce i rischi associati alla violazione della privacy delle persone e dell’organizzazione migliorando un sistema di gestione della sicurezza delle informazioni esistente.
L’adozione dello standard ISO/IEC 27701 è un ottimo modo per dimostrare a clienti e stakeholder che l’azienda utilizza sistemi efficaci per supportare la conformità al GDPR e ad altre normative sulla privacy correlate.
Le organizzazioni che desiderano ottenere la certificazione ISO/IEC 27701 per conformarsi al GDPR dovranno disporre di una certificazione ISO 27001 esistente o implementare ISO/IEC 27001 e ISO/IEC 27701 insieme. Infatti la norma ISO/IEC 27701 è un’estensione dei requisiti e delle linee guida stabilite nella ISO/IEC 27001.
La sovrapposizione di requisiti di sistema e tecnici tra un sistema di gestione della privacy delle informazioni e un sistema di sicurezza delle informazioni costituisce un caso convincente per l’adozione di ISO 27001 e ISO 27701. Ciò è supportato dal riconoscimento internazionale di uno standard ISO.
Sistema di Gestione della Conformità dei Dati a Supporto della Conformità al GDPR (Privacy Information Management System – PIMS): cos’è?
Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali, in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (art. 42).
Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.
La Norma ISO/IEC 27701 è stata progettata per essere utilizzata da tutte le organizzazioni, siano esse titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC 27001, la norma è fondata su un approccio basato sul rischio in modo che ciascuna organizzazione che voglia essere e mantenersi conforme affronti i rischi specifici riguardanti il trattamento dei dati personali e la privacy a cui è soggetta. La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la loro dimensione e il loro settore di attività.
La norma ISO/IEC 27701 fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).
Consulenza ISO 27701: Sistema di Gestione della Conformità dei Dati a Supporto della Conformità al GDPR (Privacy Information Management System – PIMS): il progetto
L’attività di consulenza prevede:
una prima analisi del contesto dell’organizzazione, dei documenti presenti e un’analisi dei rischi sui trattamenti dei dati personali; una verifica del sistema implementato ISO 27001; l’integrazione con i controlli richiesti dalla ISO 27701 per il Titolare e/o il Responsabile e relativi piani di adeguamento;
la redazione o la verifica e completamento della stessa, se già presente, andando ad inserire ad esempio:
-
- Registro dei trattamenti;
- PIA;
- analisi dei rischi sui trattamenti;
- contratti con i responsabili;
- informative;
- nomine;
- gestione dei diritti degli interessati;
- minimizzazione e limitazione dei trattamenti;
- conclusione dei trattamenti;
- tempi di conservazione;
- trasferimenti in altri Paesi o organizzazioni internazionali;
- contrattualistica;
audit interni per la verifica dell’implementazione del sistema e supporto in ambito di certificazione.