ISO 27701 per la protezione dei dati personali: lo strumento pratico per la compliance al GDPR


Lo standard ISO 27701 per la protezione dei dati personali rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali.

 

Cos’è la ISO 27701

Lo standard ISO / IEC 27701: 2019 (precedentemente noto come ISO / IEC 27552, durante il periodo di redazione) è un’estensione della ISO / IEC 27001. L’obiettivo del progetto è migliorare l’attuale sistema di gestione della sicurezza delle informazioni con requisiti aggiuntivi al fine di istituire, attuare, mantenere e migliorare continuamente un sistema di gestione delle informazioni sulla privacy.

Il nuovo standard arriva dopo che, in Europa, l’introduzione del Regolamento generale sulla protezione dei dati personali (anche conosciuto come GDPR) ha prodotto un duplice effetto, rappresentando un’innovazione e un’armonizzazione rispetto alle normative esistenti sulla privacy dei dati che riflettono le realtà del mondo digitale in cui viviamo attualmente.

Al di fuori dell’Europa, paesi come Brasile, Australia, Corea e Cina, stanno anche creando una legislazione sulla protezione dei dati, ispirandosi, in alcuni casi, proprio ai principi espressi nel GDPR.

È dunque utile esaminare lo standard ISO/IEC 27701 di recente pubblicazione (agosto 2019) che rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali.

 

La struttura normativa in relazione con la ISO 27001 e 27002

La ISO/IEC 27701 presenta controlli aggiuntivi per la ISO/IEC 27001 e la ISO/IEC 27002, va quindi letta insieme ad esse.

Per quanto riguarda la ISO/IEC 27001, la norma prevede:

  • la sua estensione alla “sicurezza delle informazioni e privacy”, dove i dati personali sono indicati come Personal identifiable information (PII);
  • l’analisi del contesto in quanto titolare o responsabile di trattamenti;
  • l’inclusione, tra le parti interessate, degli interessati ai trattamenti dei dati personali;
  • l’inclusione, tra i controlli da considerare per la Dichiarazione di applicabilità (Statement of applicabilityo SOA), di quelli proposti dalla stessa ISO/IEC 27552 nelle appendici A (per i titolari) e B (per i responsabili).

Per quanto riguarda la ISO/IEC 27002, la norma prevede l’estensione dei suoi controlli nel caso in cui l’organizzazione sia titolare o responsabile dei trattamenti. Ai titolari è dedicato il capitolo 7 e ai responsabili è dedicato il capitolo 8.

Ai controlli comuni e parzialmente già nella ISO/IEC 27002 è dedicato il capitolo 6. Dove opportuno, in questo capitolo sono riportate alcune considerazioni aggiuntive ai controlli già esistenti. Tra di esse, l’aggiunta:

  • tra le politiche, di impegni a soddisfare la legislazione vigente in materia di privacy;
  • tra i ruoli e le responsabilità, di persone di riferimento per quanto attiene alla privacy (alcuni punti riprendono quelli previsti per il DPO, nelle organizzazioni dove questa figura è presente; nelle altre è possibile prevedere un unico ruolo o ruoli distinti per il controllo e per la gestione);
  • tra la classificazione, di elementi relativi alle categorie di dati personali;
  • tra la gestione degli utenti, di considerazioni in merito ai servizi cloud in cui il cliente può autonomamente gestire i propri utenti; manca una relazione tra assegnazione delle autorizzazioni e istruzione e formazione, come invece previsto dal GDPR;
  • tra le misure relative al logging, di dettagli in merito agli accessi ai dati personali, alla messa a disposizione del titolare dei log da parte del responsabile e alla protezione dei log in quanto dati personali;
  • tra le misure relative allo sviluppo, di richiami all’importanza della privacy;
  • tra la gestione degli incidenti, della gestione delle violazioni dei dati personali (data breach).

Ulteriori misure sono incluse, ma si tratta principalmente di precisazioni in merito alle misure già presenti nella ISO/IEC 27002.

Il capitolo 7 presenta controlli aggiuntivi per i titolari del trattamento. Tra di essi, come è facile immaginare, ci sono controlli relativi a:

  • identificazione delle basi legali;
  • registro dei trattamenti;
  • PIA;
  • contratti con i responsabili;
  • informative;
  • gestione dei diritti degli interessati;
  • minimizzazione e limitazione dei trattamenti;
  • conclusione dei trattamenti;
  • tempi di conservazione;
  • trasferimenti in altri Paesi o organizzazioni internazionali.

Il capitolo 8 presenta controlli aggiuntivi per i responsabili del trattamento. Tra di essi, similmente a quelli per i responsabili, ci sono controlli relativi a:

  • registro dei trattamenti;
  • accordi con i clienti;
  • contratti con i sub-responsabili;
  • gestione dei diritti degli interessati;
  • conclusione dei trattamenti;
  • trasferimenti in altri Paesi o organizzazioni internazionali.

Sono inoltre presenti 6 allegati (in inglese Annex) che riportano sia controlli (cioè misure tecnico/organizzative di mitigazione del rischio privacy), sia riferimenti alle altre normative ISO/IEC vigenti. Nel dettaglio:

  • Annex A: analogamente alla ISO/IEC 27001 questo allegato riporta i controlli che devono essere implementati da un’organizzazione che si configuri come Titolare del Trattamento;
  • Annex B: riporta i controlli che devono essere implementati da un’organizzazione che si configuri come Responsabile del Trattamento;
  • Annex C: riporta la mappatura rispetto alla normativa ISO/IEC 29100 Information Technology – Privacy Techniques – Privacy Framework;
  • Annex D: allegato estremamente interessante che riporta il mapping delle clausole ISO/IEC 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR; L’allegato è strutturato sottoforma di tabella che riporta nella prima colonna le clausole della ISO/IEC 27701 e nella seconda colonna l’articolo GDPR di riferimento indicando anche il paragrafo e la lettera.

 

 

  • Annex E: contiene la mappatura rispetto alle normative ISO/IEC 27018 Information Technology – Security Techniques – Code of Practice for Protection of Personally Identifiable Information (PII) in public clouds acting as PII ed alla ISO/IEC 29151 Information Technology – Security Techniques – Code of Practice for Personally Identifiable Information Protection;
  • Annex F: descrive ulteriori modalità per applicare la ISO/IEC 27001 ed ISO/IEC 27002 all’ambito privacy laddove vengano trattati dati personali.

 

Perché è necessario uno standard?

La pubblicazione e l’entrata in vigore del GDPR ha di fatto regolamentato in Europa il trattamento delle informazioni personali.

Ha rappresentato un salto di qualità nella regolamentazione del settore privacy, dal momento che ha introdotto l’importantissimo principio di “accountability”, responsabilizzando gli attori coinvolti nel trattamento dei dati personali.

Tuttavia, il GDPR non da istruzioni operative su alcuni aspetti che sono lasciati alla libera interpretazione delle singole organizzazioni.

Proprio per questo motivo, a livello internazionale (quindi non solo in Europa) ISO ed IEC hanno deciso di predisporre uno strumento pratico sulla scia di quanto già definito nel passato.

 

Gli schemi di certificazione

Nel GDPR si fa riferimento a “schemi di certificazione” che possono essere messi a disposizione dal Legislatore per dimostrare l’adeguatezza del trattamento e delle relative misure di sicurezza. (Capo IV sezione 5 – Codici di condotta e certificazioni, considerando 98,99,100,167,168).

I requisiti e i controlli espressi dalla ISO/IEC 27701 fanno esplicito riferimento al GDPR indicando in modo chiaro ed esplicito gli adempimenti che interessano titolare e responsabile del trattamento.

Con la ISO/IEC 27701 siamo quindi di fronte ad uno strumento pratico che consente di verificare se i trattamenti effettuati da un’organizzazione siano o meno conformi al GDPR.

Occorre però attendere la decisione dell’EDPB – European Data Protection Board per affermare che la ISO 27701 possa essere lo “scheda di certificazione” indicato nel GDPR, ma si tratta senza dubbio di una pietra miliare e un ottimo spunto di partenza per qualsiasi schema futuro.

 

Il testo della ISO 27701 : https://www.iso.org/standard/71670.html