ISO/IEC 27701:2024 – un SGPDP autonomo

Con la futura pubblicazione della ISO/IEC 27701:2024, la gestione della protezione dei dati personali subirà un’importante evoluzione.

Mentre nella versione precedente (27701:2019) era solo un’estensione della ISO/IEC 27001, richiedendo quindi l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) per poter essere certificata, la nuova versione, attualmente in fase di bozza avanzata, offrirà invece la possibilità di certificare un Sistema di Gestione della Protezione dei Dati Personali (SGPDP) in modo autonomo, senza prima dover certificare l’organizzazione ISO27001.

Ovviamente non sappiamo se il draft diverrà standard in questi ultimi mesi del 2024, anche se alcune voci di corridoio lo indicherebbero.

Caratteristiche rilevanti di ISO/IEC 27701:2024

La prossima ISO/IEC 27701:2024 offrirà un quadro completo per la gestione delle informazioni personali identificabili (PII – Personally Identifiable Information) che in italiano definiamo “dati personali”, rendendo più semplice l’implementazione per le aziende che si concentrano specificamente sulla protezione dei dati personali.

Alcune delle principali caratteristiche includeranno:

1. Sistema di gestione autonomo: la norma rivista consentirà di certificare il SGPDP senza dipendere dalla certificazione ISO/IEC 27001; questo ne semplifica l’adozione per le organizzazioni che vogliono focalizzarsi sulla protezione dei dati personali senza implementare un SGSI completo (attualmente ISO 27001:2022).
2. Controlli specifici per i ruoli di trattamento: la futura norma definirà controlli dettagliati sia per i titolari che per i responsabili del trattamento (detti PII controllers e processors), assicurando una adeguata conformità alla normative sulla protezione dei dati (GDPR).
3. Standard di livello: la struttura della norma segue un approccio comune alle altre norme ISO, facilitando l’integrazione con altri sistemi di gestione già esistenti, specialmente della famiglia ISO.

Vantaggi della Certificazione ISO/IEC 27701:2024

Per le aziende che non hanno implementato – o non possono adottare – ISO/IEC 27001, la certificazione ISO/IEC 27701:2024 offre vantaggi significativi rispetto al mero adeguamento al GDPR:

• Certificazione riconosciuta a livello internazionale: oltre a garantire la conformità al GDPR, la ISO/IEC 27701:2024 offre una certificazione standard e riconosciuta internazionalmente, rafforzando la fiducia di partner e clienti.
• Approccio strutturato e sistematico: la norma fornisce – a data controllers e data processors – un sistema di gestione metodico e misurabile, riducendo il rischio di violazioni rispetto al mero adeguamento al Regolamento UE 679/2016.
• Fiducia e trasparenza: certificarsi secondo la nuova norma ISO/IEC 27701 dimostra l’impegno proattivo per la protezione dei dati personali, migliorando la trasparenza e rafforzando la fiducia degli stakeholder.
• Mitigazione del rischio: la norma aiuta a identificare, valutare e gestire proattivamente i rischi legati alla protezione dei dati personali, dimostrando accountability verso le richieste del GDPR.
• Miglioramento continuo: ISO/IEC 27701:2024 promuove un ciclo continuo di miglioramento nella gestione della protezione dei dati, garantendo che le aziende e le organizzazioni si mantengano sempre aggiornate e conformi.

Vantaggi per le PMI

La futura norma stand-alone rappresenterà una grande opportunità per le piccole e medie imprese (PMI). La possibilità di certificare un SGPDP a se stante ridurrà la complessità ed i costi associati all’adozione di un SGSI sulla protezione dei dati personali (noi preferiamo non chiamarla privacy, ma protezione dei dati personali); questo consentirà alle PMI di concentrarsi esclusivamente sulla protezione dei dati personali, con la possibilità di raggiungere un livello di conformità certificabile a standard internazionali. Oviamente l’impostazione ISO 270xx è presente, e questo potrebbe in seguito facilitare anche l’adozione del SGSI ISO 27001.

Un cambiamento atteso ed importante per PMI o enti pubblici

La ISO/IEC 27701:2024 porterà un cambiamento significativo per la gestione della protezione dei dati personali. L’introduzione di un sistema di gestione autonomo offre ad aziende ed organizzazioni una maggiore flessibilità e semplicità nel raggiungere una certificazione, senza dover implementare un SGSI completo. Con l’adozione della ISO/IEC 27701:2024, le organizzazioni potranno quindi migliorare la gestione dei rischi legati alla protezione dei dati, dimostrare una accountability certificata da terzi autorevoli ed – in ultima analisi – proteggerei i dati personali secondo i migliori standard globali.

ALCUNI NOSTRI APPROFONDIMENTI SU SISTEMA GESTIONE PROTEZIONE DATI PERSONALI