martedì 30 gennaio 2024

Norme EN sulla privacy (e la certificazione GDPR)

Da ottobre 2023 sono disponibili due norme EN sulla privacy che potranno essere usate per le "certificazioni GDPR (art. 42 e 43)". Non avevo dato la notizia perché avevo fatto confusione con la numerazione.

La prima è la EN 17799:2023 "Personal data protection requirements for processing operations": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:72146&cs=1542894B837546009C6EA75EEF37A17FB.

Essa è, in poche e imprecise parole, l'erede della UNI/PdR 43. La EN 17799 ha un ambito più ampio della PdR 43, non riducendosi al solo ambito ICT. È più destinata alle PMI.

La seconda è l'EN 17926:2023 "Privacy Information Management System per ISO/IEC 27701 - Refinements in European context": https://standards.cencenelec.eu/dyn/www/f?p=205:110:0::::FSP_PROJECT:73645&cs=1E27CF456A53D1D12798EDA52ADB48A97.

Questa, in pochissime e imprecisissime parole, dice: "Prendi la ISO/IEC 27701 e cambia un paio di cosine, così potrai usare questa EN 17926 per certificarti secondo articoli 42 e 43 del GDPR usando la ISO/IEC 27701". È più destinata alle organizzazioni di dimensione medio-grande.

In tutti e due i casi non sono pronte le norme con le regole di accreditamento (a mio parere non lo saranno prima del 2025) e quindi non sono ancora utilizzabili. Qualche organismo di accreditamento potrebbe lanciare in autonomia uno schema di certificazione, ma dubito che avverrà, visto che l'obiettivo è quello di usarle per uno schema di sigillo europeo e quindi essere approvate dall'EDPB.

Ringrazio gli Idraulici della privacy per avermi forzato a ripensare su queste norme.

Nessun commento:

Posta un commento