Perché la norma ISO 27001 non è compliant per il GDPR

Perché la norma Iso 27001

non è compliant per il GDPR

La norma ISO 27001 è costruita sul presupposto che una informazione, per essere definita sicura debba avere tre proprietà:

• Riservatezza: proprietà di una informazione di non essere disponibile o rivelata a individui, entità o processi non autorizzati;
• Integrità: proprietà di accuratezza e completezza;
• Disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di una entità autorizzata.

In genere ci si riferisce a queste proprietà come parametri RID.

Il GDPR ha invece come scopo la protezione delle persone fisiche con riguardo al trattamento dei dati personali e prescrive che i trattamenti di questa tipologia di dati rispettino i principi di

1. Liceità
2. Correttezza
3. Trasparenza

Inoltre, secondo l’art.5 del GDPR i dati:

1. devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
2. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
3. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
4. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
5. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Dunque un sistema di protezione dei dati basato sui requisiti della ISO 27001, sebbene molto efficace a garantirne proprio integrità e riservatezza, non è in grado da solo di garantire quei requisiti tipici del trattamento dei dati personali quali la liceità, trasparenza, correttezza, minimizzazione, e inutilizzabilità oltre il periodo entro il quale il trattamento è lecito.

Alla base di questa incompatibilità ci sono proprio i presupposti diversi dei due regolamenti: il Regolamento Europeo ha come focus la persona fisica e non l’informazione in sé.

Per qualsiasi dubbi e/o chiarimento in materia di Qualità, Vi invitiamo a contattare il nostro Studio.