ISO 27701 è un framework per la privacy dei dati che si basa sulle indicazioni espresse all’interno della ISO 27001. Le informazioni contemplate nelle ISO in merito alla privacy fungono da faro alle organizzazioni sulle politiche e sulle procedure che dovrebbero essere messe in atto per conformarsi al GDPR e ad altre normative e leggi sulla protezione dei dati e sulla privacy.
Nello specifico lo standard ISO 27701 definisce una serie dettagliata di controlli operativi che possono essere adattati a una varietà di normative, incluso naturalmente il GDPR. Le aziende, attraverso audit interni documentano le loro politiche, procedure, protocolli e attività in linea con i controlli operativi dello standard, con conseguente prova dettagliata della conformità allo standard prescelto.
La ISO 27701, nello specifico, aiuta le aziende a mantenere un efficace sistema di privacy e sicurezza delle informazioni e a ridurre i rischi che possono compromettere la privacy. La ISO 27701 è un protocollo per dimostrare ai consumatori, alle organizzazioni esterne e a tutte le parti interessate che esistono meccanismi per mantenere i dati al sicuro e rispettare le leggi sulla privacy.
Letteralmente la ISO 27701 è un’estensione della ISO 27001, il che significa che le organizzazioni che intendono implementare la certificazione ISO 27701 devono prima possedere la ISO 27001 oppure completare entrambi gli standard contemporaneamente.
Le organizzazioni che sono già conformi alla ISO 27001 avranno solo alcune attività extra da completare, come una seconda valutazione del rischio, per tenere conto dei nuovi controlli.
Indice degli argomenti
ISO 27701 e ISO 27001: privacy e sicurezza
Nonostante la precisione con cui la ISO 27701 si lega alla ISO 27001, andando nel dettaglio, si scopre che i due protocolli trattano argomenti diversi. La prima riguarda i controlli sulla privacy delle organizzazioni, mentre la seconda riguarda la sicurezza delle informazioni.
Per cercare di trasporre in un linguaggio meno tecnico la ISO 27001 si riferisce al modo in cui un’organizzazione mantiene i dati accurati, disponibili e accessibili solo ai dipendenti autorizzati, mentre la ISO 27701 contempla il modo in cui un’organizzazione raccoglie i dati personali e ne impedisce l’uso o la divulgazione non autorizzati.
Quando si costruisce un framework aziendale atto alla sicurezza delle informazioni, le organizzazioni devono adottare alcuni passaggi aggiuntivi per garantire che i problemi di privacy siano presi in considerazione, la ISO 27701 aiuta le organizzazioni a compiere questo passaggio ampliando le controlli della ISO 27001 e i controlli presenti nell’Allegato A che si riferiscono specificamente alla privacy dei dati. La ISO 27701 fornisce inoltre due ulteriori insiemi di controlli specifici per i responsabili del trattamento e gli incaricati del trattamento.
Inoltre, si basa sul principio della sicurezza delle informazioni indirizzando il lettore ai principi di privacy più estesi della ISO 29100, lo standard internazionale che fornisce un quadro sulla privacy per i dati personali conservati nei sistemi IT.
ISO 27701 e GDPR
Sebbene abbia “protezione dei dati” nel suo stesso nome, il GDPR è ugualmente contemplato quando si affronta la privacy dei dati soprattutto nel quadro italiano ove il Regolamento Europeo ha trovato la propria divulgazione coordinandosi con la Legge 196 del 2003.
Tuttavia, come più volte affermato, la legislazione non include indicazioni su come soddisfare i suoi requisiti per evitare che il GDPR diventi obsoleto man mano che le best practice si evolvono e nuove tecnologie diventano disponibili.
Sebbene questa sia una decisione condivisibile a lungo termine, lascia le organizzazioni incerte sulle specifiche da mettere in atto per adeguarsi alla normativa.
È qui che entra in gioco la ISO 27001, che spiega come le organizzazioni possono affrontare adeguatamente la protezione dei dati.
I vantaggi
ISO 27701 è un framework che consente di dimostrare la conformità a un’ampia varietà di norme aventi per oggetto la privacy e la protezione dei dati. Adeguarsi ad uno standard del genere porta con sé una serie di benefici che cerchiamo nel seguito di esplicitare:
- Dimostrare una protezione dei dati di livello superiore
Lo standard ISO 27701 è uno dei modi per dimostrare che si stanno rispettando tutti i requisiti di protezione dei dati, riservatezza e sicurezza della privacy appropriati.
- Creare fiducia nella gestione delle informazioni personali
Quando si tratta di gestire le informazioni personali, è necessario disporre di un modo per garantire che la propria organizzazione stia facendo tutto il possibile per garantire che le informazioni siano gestite correttamente e nel rispetto della legge. ISO 27701 fornisce lo standard necessario per creare fiducia durante la gestione dei dati. Fornitori, consumatori e partner possono avere fiducia nelle politiche, nelle procedure e nei protocolli intrapresi.
- Integrarsi con i principali standard di sicurezza delle informazioni
ISO 27701 si integra con i principali standard di sicurezza delle informazioni. Ciò consente lo sviluppo e l’aggiornamento senza soluzione di continuità di politiche e procedure tra standard diversi e la certezza di non compromettere la conformità con altri standard adottando gli standard ISO 27701.
- Supportare la conformità con altre normative sulla privacy
ISO 27701 è lo “standard di settore” per conformarsi alla nuova legislazione sulla protezione dei dati. Anche se ISO 27701 si allinea ai principi del GDPR, consente anche alle organizzazioni di documentare la conformità ad altre leggi, regolamenti, standard e requisiti sulla privacy.
- Flessibilità per adattarsi alle specifiche giurisdizionali
Lo standard ISO 27701 è stato sviluppato per fornire standard per lavorare con informazioni di identificazione personale in modo da poter soddisfare diverse leggi sulla privacy. Se una azienda opera al di fuori dell’UE e desidera seguire le linee guida specifiche del territorio equivalenti al GDPR, è possibile inserire tali specifiche giurisdizionali nella ISO 27701.
- Fornire trasparenza tra le parti interessate
ISO 27701 definisce lo standard per la gestione dei dati sulla privacy. Lo standard rende i processi trasparenti per tutti gli stakeholder, generando fiducia e rispetto reciproco.
- Facilitare accordi commerciali efficaci
Quando le aziende si impegnano a lavorare con gli stessi standard elevati sulla privacy dei dati, è più facile stringere accordi e lavorare insieme. ISO 27701 genera fiducia e garantisce che tutte le parti interessate siano in sintonia quando si considerano l’integrazione dei sistemi e i processi aziendali condivisi.
I requisiti
I requisiti per ottenere la conformità ISO/IEC 27701 includono diversi passaggi che nel seguito andiamo ad esplicitare per rendere più concreta la norma.
- Progettare, costruire ed implementare un sistema di informazioni personali per la propria organizzazione;
- seguire le linee guida ISO 27701 durante la progettazione e l’implementazione del PIMS acronimo di “sistema di gestione delle informazioni sulla privacy”.
- i PIM dovrebbero definire sistemi rigorosi e controlli tattici per la gestione delle informazioni di identificazione personale, compreso il modo in cui queste informazioni vengono ottenute, utilizzate, condivise ed eliminate.
- definire ruoli utente rigorosi e password complesse per tutte le parti interessate che elaborano e controllano i dati sulla privacy.
La certificazione ISO 27701 richiede, come detto, la certificazione ISO 27001. Il sistema di gestione delle informazioni personali si basa sul “sistema interno di gestione della sicurezza delle informazioni” (ISMS). È possibile quindi ottenere la certificazione ISO 27701 contemporaneamente alla ISO 27001. Fare entrambe i percorsi contemporaneamente è normalmente più facile, meno dispendioso in termini di risorse ed economico rispetto a farle separate.
La ISO 27701 è suddivisa in controlli, proprio come altri standard ISO, con i controlli 5-8 che dettagliano i requisiti aggiuntivi e gli aggiornamenti che devono essere aggiunti alla ISO 27001:
- controllo 5: delinea i requisiti PIMS per la conformità ISO/IEC 27001.
- controllo 6: delinea la guida PIMS per ISO/IEC 27002.
- controllo 7: delinea le linee guida PIMS per i controllori PII (informazioni identificative personali)
- controllo 8: del PIMS fornisce una guida per i responsabili PII.
Nella norma sono inclusi anche i seguenti allegati:
- l’allegato A si occupa di elencare gli obiettivi e i controlli specifici del sistema di gestione privacy per un’organizzazione che agisca in qualità di titolare del trattamento di dati personali, a prescindere dal fatto che si utilizzi un responsabile del trattamento o meno ovvero in contitolarità con altro titolare, come previsto dall’art. 26 del GDPR.
- l’allegato B invece indica gli obiettivi e i controlli specifici del sistema di gestione privacy in relazione ad un’organizzazione in funzione di responsabile del Trattamento a prescindere da una eventuale sub-responsabilità come prevista dall’art. 28 del GDPR.
- l’allegato C contiene una comparazione tra i punti di norma della ISO/IEC 29100 (Information Technology – Security Techniques – privacy Framework) ed i controlli della 27701.
- l’allegato D compara la struttura della ISO/IEC 27701 rispetto agli articoli del GDPR.
- l’allegato E mappa i punti di norma 27701 con quelli della 27018 oltre a quelli della ISO/IEC 29151.
- l’allegato F, infine, spiega come estendere i requisiti e le linee guida della ISO/IEC 27701 e 27002 alla protezione dei dati personali.
La pubblicazione e l’entrata in vigore del GDPR ha di fatto regolamentato in Europa il trattamento delle informazioni personali.
Ha rappresentato un salto di qualità nella regolamentazione del settore privacy, dal momento che ha introdotto l’importantissimo principio di “accountability”, responsabilizzando gli attori coinvolti nel trattamento dei dati personali.
Tuttavia, non avendo istruzioni operative su alcuni aspetti, a livello internazionale (quindi non solo in Europa) ISO e IEC hanno deciso di predisporre uno strumento pratico sulla scia di quanto già definito nel passato.
Nel GDPR si fa riferimento a “schemi di certificazione” che possono essere messi a disposizione dal Legislatore per dimostrare l’adeguatezza del trattamento e delle relative misure di sicurezza. (Capo IV sezione 5 – Codici di condotta e certificazioni, considerando 98,99,100,167,168).
I requisiti e i controlli espressi dalla ISO/IEC 27701 fanno esplicito riferimento al GDPR indicando in modo chiaro ed esplicito gli adempimenti che interessano titolare e responsabile del trattamento.
Con la ISO/IEC 27701 siamo quindi di fronte ad uno strumento pratico che consente di verificare se i trattamenti effettuati da un’organizzazione siano o meno conformi al GDPR.
