A gennaio 2023 è stata pubblicata la norma ISO 31700-1:2023: Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements .
La norma si limita a trattare di beni e servizi a uso personale non destinati a organizzazioni per il trattamento di dati personali di cui sono titolari o responsabili del trattamento.
Prima di procedere è necessario ricordare che il principio di Privacy by design fu sviluppato inizialmente negli anni Novanta da Ann Cavoukian, all’epoca assistente dell’Information and Privacy commissioner dell’Ontario (Canada).
Lo standard Privacy by design si propone quindi di elencare gli elementi che devono essere rispettati, dall’ideazione alla dismissione, per soddisfare il principio. Tale principio deve considerare sia l’utente del prodotto (il consumatore), sia le persone che interagiscono a vario titolo con esso lungo tutto il suo ciclo di vita.
Le certificazioni rispetto alla ISO 31700
La norma è scritta in modo da usarla come insieme di requisiti di prodotto (product requirements) per uno schema di certificazione secondo la ISO 17065.
Infatti, i requisiti sono supportati con il modale shall (“deve” o “devono”). Da osservare però che il termine certificazione non è mai usato se non in altro contesto.
I requisiti ISO 31700
I requisiti della ISO 31700 sono 27, suddivisi in 5 capitoli, ossia
- requisiti generali (sulla progettazione, sui ruoli e responsabilità, sulle competenze e sulla documentazione di supporto)
- requisiti di comunicazione (istruzioni da fornire ai consumatori, risposte alle richieste e ai reclami dei consumatori, comunicazioni sulle violazioni ai dati personali)
- requisiti sulla gestione del rischio
- requisiti sullo sviluppo, la realizzazione e l’esercizio dei controlli relativi alla privacy (inclusi quelli sui test)
- conclusione del ciclo di vita del prodotto.
Dall’indice disponibile online è possibile identificare i 27 requisiti:
Categoria | Requisito ISO 31700-1 (e numero) |
---|---|
General | 4.2 Designing capabilities to enable consumers to enforce their privacy rights |
4.3 Developing capability to determine consumer privacy preferences | |
4.4 Designing human computer interface (HCI) for privacy | |
4.5 Assigning relevant roles and authorities | |
4.6 Establishing multi-functional responsibilities | |
4.7 Developing privacy knowledge, skill and ability | |
4.8 Ensuring knowledge of privacy controls | |
4.9 Documentation and information management | |
Consumer communication requirements | 5.2 Provision of privacy information |
5.3 Accountability for providing privacy information | |
5.4 Responding to consumer inquiries and complaints | |
5.5 Communicating to diverse consumer population | |
5.6 Prepare data breach communications | |
Risk management requirements | 6.2 Conducting a privacy risk assessment |
6.3 Assessing privacy capabilities of third parties | |
6.4 Establishing and documenting requirements for privacy controls | |
6.5 Monitoring and updating risk assessment | |
6.6 Including privacy risks in cybersecurity resilience design | |
Developing, deploying and operating designed privacy controls | 7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles |
7.3 Designing privacy controls | |
7.4 Implementing privacy controls | |
7.5 Designing privacy control testing | |
7.6 Managing the transition of privacy controls | |
7.7 Managing the operation of privacy controls | |
7.8 Preparing for and managing a privacy breach | |
7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle | |
End of PII lifecycle requirements | 8.2 Designing privacy controls for retirement and end of use |
La norma descrive processi, non misure di sicurezza. Per esempio, la necessità di controllare gli accessi ai dati è accennata nell’ambito delle competenze tecniche che dovrebbero avere le persone addette alla progettazione e all’esercizio dei prodotti e nell’ambito dell’esercizio stesso. Ogni requisito è accompagnato da una spiegazione e da una guida.
Per i requisiti tecnici, per fornire fondamenta autorevoli alle scelte fatte, a questo punto si dovranno utilizzare altri riferimenti.
Tra questi si possono citare
- Privacy and Data Protection by Design – from policy to engineering di ENISA (del 2014),
- il documento Handbook on Security of Personal Data Processing di ENISA (del 2018, affiancato da un tool online),
- la ETSI TS 103 645 Cyber Security for Consumer Internet of Things: Baseline Requirements,
- la ISO/IEC 27001 la ISO/IEC 27701 e la ISO/IEC 27018.
ISO/TR 31700: due esempi di uso
La ISO 31700-1 è affiancata da una seconda parte con tre esempi:
- di un sito di ecommerce B2C,
- una palestra (con un servizio aggiuntivo di raccolta dati delle prestazioni e invio su un’app per dispositivo mobile)
- uno smart lock (con relativa app per dispositivo mobile).
Gli esempi illustrano come i requisiti possono essere applicati a ciascun caso. In realtà, non tutti i requisiti sono illustrati per tutti i casi, anche se quasi sicuramente dovranno essere applicati.
Ancora una volta gli esempi riguardano i processi e non le misure di sicurezza da applicare.
Le certificazioni ISO 37100
Al momento lo standard non include tutti i requisiti di certificazione, ma solo i requisiti di prodotto.
Saranno gli organismi appositi a dovere sviluppare lo schema di certificazione (seguendo la ISO/IEC 17065) e, eventualmente, gli organismi di accreditamento i loro requisiti per il controllo degli organismi di certificazione.
Sicuramente questi requisiti dovranno includere elementi significativi in merito alle competenze del personale che dovrà verificare il prodotto, visto che dovranno includere competenze elevate sia giuridiche sia tecniche, per capire al meglio quanto sarà loro presentato.
Articolo originariamente pubblicato il 10 Feb 2023