sistema privacy vs. sistema gestione sicurezza informazioni

sistema privacy vs. sistema gestione sicurezza informazioni

Il termine inglese privacy si riferisce alla riservatezza della vita personale; spesso si è parzialmente sovrapposto a quello di sicurezza delle informazioni; in realtà la sicurezza delle informazioni comprende i dati di business, know how, diritti industriali e d’autore, brevetti.

Un tema ampiamente dibattuto è quello del rapporto fra le norme in materia privacy e lo standard ISO 27001:2014 cioè fra Sistema Privacy rispetto al Sistema di Gestione della Sicurezza delle informazioni.

Il Sistema Privacy si occupa del trattamento e della protezione dei dati conferiti dalle persone (c.d. interessati).
Il Sistema Gestione Sicurezza delle informazioni si occupa della sicurezza delle informazioni in possesso dell’azienda, informazioni intese in quanto Asset.


Il Sistema Privacy e quello della Sicurezza Informazioni presentano delle sovrapposizioni, i dati personali sono un sottoinsieme sottoposto alle regole previste dal Sistema di Sicurezza delle Informazioni. La conformità, quindi il rispetto allo standard ISO 27001:2014, implica, per l’organizzazione, anche la conformità alle norme Privacy (rispetto delle misure minime di sicurezza Allegato B al Codice Privacy).

Il Garante ha chiarito che la presenza di un Sistema di Gestione per la sicurezza delle informazioni (SGSI) secondo la norme ISO/IEC 27001:2014, anche se non certificato, viene considerato prova dell’esistenza di controlli per la protezione e la sicurezza dei dati personali; questo al fine di evitare all’organizzazione doppi e ridondanti adempimenti.

E’ opinione diffusa quella di integrare, di conseguenza auditare, i due sistemi di gestione tenendo però presenti le diverse finalità che li orientano e caratterizzano.