Pierfrancesco Maistrello mi ha scritto una riflessione interessante sulle certificazioni privacy, la ISO/IEC 27701 e la necessità o meno di avere certificazioni con accreditamento ISO/IEC 17021 o 17065 (ricordo che il GDPR richiede il secondo).
Scrive Pierfrancesco:
<<
Non credo che le organizzazioni siano pronte a certificarsi GDPR art.42-43: è un passo troppo lungo e complesso per molti. Senza contare che il vantaggio di queste certificazioni è tutto da dimostrare. Ricordo sempre il ragionamento di Bolognini, che diceva che una certificazione ex art.42 non pienamente gestita o "bucata" potrebbe trasformarsi in un aggravio delle inadempienze del titolare, in caso di valutazione della sanzione amministrativa.
Ma certo molta gente ha bisogno di indicazioni per strutturare il sistema di gestione delle proprie misure e quindi una norma autorevole, anche se non coerente a GDPR art. 42-43, è utile.
Ulteriore riflessione. Guardando il recente sweep del garante fatto con Netcomm, si vede che hanno chiesto ad aziende che hanno attività e-commerce se le loro data breach policies contengono specifiche indicazioni sulla gestione delle eventuali azioni correttive. Io trovo questa attitudine al miglioramento delle misure di sicurezza la principale lacuna dei clienti con cui lavoro in questi mesi. Questo mi riporta a pensare che una norma come la ISO/IEC 27701, anche se non GDPR art. 42-43, sarà utile in questo senso.
>>
Nessun commento:
Posta un commento