Il nuovo standard globale può contribuire a certificare molti requisiti del Regolamento generale sulla protezione dei dati dell'UE.
M
entre ci avviciniamo al primo anniversario dell'attuazione del Regolamento generale sulla protezione dei dati dell'UE (GDPR), ho pensato che valesse la pena di esaminare il nuovo standard in un contesto specifico. Ho quindi fatto una serie di osservazioni.
La "narrazione" del GDPR è cambiata
Nella fase di attuazione del GDPR, il principale fattore per le imprese che diventano conformi - e certamente la cosa che ha attirato di più l’attenzione - è stata la possibilità di ricevere multe per non conformità fino a 20 milioni di euro o il 4% del fatturato globale. Anche se non ci sono state molte multe già dal primo giorno, abbiamo visto imprese di ogni tipo e dimensione successivamente penalizzate per aver violato il GDPR in vari modi.
Ciò che è diventato evidente nei 12 mesi successivi all'introduzione del GDPR è il fatto che sia molto esigente nei suoi requisiti. Non solo c'è il principio di responsabilità – assicurandosi che i dati non vengano utilizzati in modo improprio - ma le imprese devono anche essere in grado di dimostrare come impostare processi, procedure e politiche per rispettare la legge.
A causa della complessità nella conformità al GDPR, l'attenzione si è spostata sulla certificazione, consentendo alle imprese di dimostrare di soddisfare almeno alcuni dei requisiti.
La ISO 27001 ha agito come punto di partenza per la conformità al GDPR
Purtroppo, per ora, non esiste ancora uno standard internazionale che dimostri la conformità al GDPR. Quindi, nonostante alcune imprese pubblicizzino in modo non sincero i servizi pubblicitari al contrario, non esiste ancora una certificazione ufficiale completa GDPR. Ci sono, tuttavia, standard che aiutano a rispettare gli aspetti della GPDR.
Tra queste, la più importante è la ISO 27001, il cui quadro di riferimento fornisce un crossover con i requisiti GDPR. ISO 27001 è lo standard internazionale che descrive le migliori pratiche per un sistema di gestione della sicurezza delle informazioni (ISMS). È importante sottolineare che fornisce la prova che sono state adottate misure per conformarsi ai requisiti di sicurezza dei dati del GDPR.
La ISO 27552 ci porta un passo avanti verso la certificazione GDPR
Sebbene la norma ISO 27001 sia riconosciuta a livello internazionale, essa si applica solo in parte quando si tratta di conformità al GPDR. Un nuovo standard - ISO 27552 - mira a fornire una certificazione più allineata alla normativa.
Attualmente in fase di sviluppo, e la cui pubblicazione è prevista al più presto nel quarto trimestre del 2019, la ISO 27552 sarà un'estensione della ISO 27001, aggiungendo un quadro di controlli sulla privacy. Essa integra l'ISMS con un sistema di gestione delle informazioni sulla privacy (PIMS) e, cosa importante, mapperà i controlli relativi alla privacy al GDPR.
Ci aspettiamo che l'ISO 27552 otterrà rapidamente il riconoscimento tra gli addetti ai lavori. Successivamente, sarà in grado di essere utilizzato come un unico controllo per conformarsi a molteplici normative sulla privacy, non solo al GDPR.
ISO 27552 si estende oltre l'UE
Uno degli aspetti chiave del nuovo standard è che sarà riconosciuto a livello globale, il che è significativo quando si coinvolgono forniture di servizi al di fuori dell'UE.
Ad esempio, se un'azienda trasferisce dati al di fuori del paese - e questo può essere semplice come utilizzare Google Analytics su un sito web - solleva questioni di protezione dei dati e questo rientra nelle regole del GDPR. Per essere conforme, l'azienda dovrebbe attuare alcune misure per giustificare i trasferimenti - sia attraverso le cosiddette clausole contrattuali standard o regole aziendali vincolanti, nel caso di trasferimenti intra-aziendali.
La ISO 27552 eviterà la necessità di tali accordi - così la certificazione può fornire un nuovo strumento più semplice per giustificare il flusso di dati internazionali sia all'interno che all'esterno di un gruppo di aziende.
Inoltre la ISO 27552 rappresenterà uno standard internazionale che contribuirà anche a contestare le sanzioni delle autorità perché un'impresa potrà utilizzarla per dimostrare che è conforme alla GDPR.
Non sarà semplice avere una certificazione GDPR completa
In definitiva, mentre l'ISO 27552 è un importante passo avanti, il GDPR è una normativa complessa e severa, e ci sono aspetti che non possono essere coperti dai nuovi standard. Prendiamo, ad esempio, la portabilità dei dati secondo GDPR, che fornisce il diritto di trasferire dati da un'organizzazione ad un'altra, come ad esempio da Facebook ad un altro fornitore di social media. La portabilità dei dati è uno dei diritti fondamentali dei soggetti interessati dal GDPR, eppure è difficile prevedere uno standard globale perché il diritto applicato è diverso nei differenti paesi.
Il panorama del GDPR continuerà a cambiare
Il GDPR serve a proteggere i dati personali, ma anche a consentire il libero flusso di dati e di beni e servizi in tutta l'UE.
La Brexit crea uno scenario interessante in quanto il Regno Unito è destinato a diventare un paese terzo con l'UE e non beneficerà più di questo libero flusso, il che significa che richiederà misure aggiuntive. La norma ISO 27552 può, almeno dal punto di vista dei dati, essere uno strumento per le aziende del Regno Unito per mantenere le cose in funzione.
Questo, di per sé, indica l'importanza della certificazione, che può fornire una certa certezza e stabilità in un panorama internazionale in continua evoluzione.
A un anno dall'attuazione del GDPR, le autorità stanno diventando più severe in termini di multe. La certificazione ISO 27552 dimostrerà la conformità nei confronti di parti considerevoli del regolamento e potrà aiutare le imprese a mostrare la loro responsabilità ed essere un elemento di contestazione di tali multe, qualora si verifichino.
