ISO/IEC 27701: il nuovo standard internazionale per la gestione della privacy
Aiutare le aziende a soddisfare i requisiti e gestire i rischi.
Il mondo sta diventando sempre più connesso, generando una crescente domanda di protezione della privacy. Con le nuove normative, come la General Data Protection Regulation (GDPR) della UE, si richiede alle aziende di soddisfare i requisiti normativi e gestire i rischi per la privacy relativi alle informazioni personali identificabili (Personally Identifiable Information, PII). Poter contare sulle giuste competenze, processi e sistemi può aiutare tanto a soddisfare i requisiti come a gestire i rischi.
Nella nostra indagine ViewPoint, le aziende certificate secondo standard quali ISO/IEC 27001 (Sicurezza delle informazioni) riferiscono una maggiore capacità di controllo. Lo standard ISO 27001 stabilisce i requisiti un sistema di gestione della sicurezza delle informazioni, mentre l’ISO/IEC 27701 stabilisce i requisiti per un sistema di gestione della riservatezza delle informazioni (Privacy Information Management System, PIMS). Un PIMS consente all’organizzazione di migliorare costantemente e dimostrare la capacità di essere responsabili nel trattamento dei dati personali.
Standard di gestione della privacy
L’ISO ha pubblicato numerosi standard relativi alla sicurezza delle informazioni, la cybersicurezza e la privacy. Quello più applicato è lo standard di sicurezza per le informazioni certificabile ISO/IEC 27001. Nell’agosto del 2019 è stato poi rilasciato lo standard di gestione della privacy ISO/IEC 27701 (noto in precedenza come ISO/IEC 27552). Tra gli ulteriori standard relativi alla privacy, i più rilevanti sono:
- ISO/IEC 27018 “Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider” (può essere utilizzato come estensione dell’ISO/IEC 27001);
- ISO/IEC 29100 “Privacy framework”;
- ISO/IEC 29134 “Linee guida per la valutazione dell’impatto sulla privacy”.
Altri standard stabiliscono requisiti legislativi su temi come l’anonimizzazione o la de-identificazione e le informative sulla privacy. Alcuni coprono la privacy in specifici settori (ad es. le smart city) o applicazioni (ad es. la biometrica).
Certificazione e legislazione sulla gestione della privacy
L’ISO/IEC 27701 è un’integrazione all’ISO/IEC 27001: i due standard devono essere implementati insieme e l’ISO/IEC 27701 è certificabile solo in combinazione con l’ISO/IEC 27001.
L’ISO/IEC 27701 si può utilizzare per soddisfare requisiti e per dimostrare la compliance e l’assunzione di responsabilità rispetto al GDPR. Un allegato riporta i riferimenti incrociati tra GDPR e ISO/IEC 27701, ma lo standard non è specifico per il GDPR.
Dato che copre le legislazioni sulla privacy di tutto il mondo, è utile alle aziende anche per operare a livello internazionale al di fuori dell’Europa. L’ISO/IEC 27701 non tratta attualmente il meccanismo di certificazione promosso dal GDPR, ma sono attivi gruppi di studio, che includono rappresentanti delle autorità di protezione dei dati (Data Protection Authority, DPA), che stanno lavorando a schemi per una “certificazione GDPR”. L’ISO/IEC 27701 è un possibile candidato.
Dettagli dello standard ISO/IEC 27701
L’ISO/IEC 27701 comprende i requisiti dei sistemi di gestione delle PII e va a integrare le seguenti parti dell’ISO/IEC 27001:
- Il corpo principale dello standard, inclusa l’analisi del contesto in considerazione dei ruoli di colui che tratta e controlla i dati; l’inclusione dei soggetti dei dati tra le parti interessate; l’inclusione di alcuni controlli aggiuntivi sulla sicurezza delle informazioni nella dichiarazione di applicabilità (Statement of applicability, SOA);
- I controlli presenti nell’Annex A dell’ISO/IEC 27001.
I controlli di sicurezza che vanno a completare lo standard di sicurezza delle informazioni si trovano nell’Annex A dell’ISO/IEC 27701 per quanto riguarda chi controlla i dati (data controller) e nell’Annex B per colui che li tratta (data processor).
Ulteriori controlli per i data controller comprendono, per esempio, la valutazione dell’impatto della protezione dei dati (Data Protection Impact Assessment, DPIA), i contratti con i data processors, i tempi di conservazione e numerosi altri.
Ulteriori controlli per i data processor comprendono, per esempio, i record delle attività di trattamento e la gestione dei diritti dei soggetti dei dati, oltre al termine del trattamento e altri.
L’ISO/IEC 27701 è inoltre un’estensione delle linee guida ISO/IEC 27002 e fornisce una guida all’implementazione per ciascun controllo aggiuntivo di sicurezza. Per alcuni dei controlli previsti nell’ISO/IEC 27002 vengono inoltre fornite linee guida d’implementazione focalizzate sulla privacy.
Perché l’ISO/IEC 27701 è utile per il mio business?
Numerosi sono i vantaggi di un sistema di gestione delle informazioni sulla privacy (PIMS):
- Consolida la fiducia nella capacità della vostra azienda di gestire le informazioni personali, sia dei clienti sia dei dipendenti.
- Supporta la compliance con il GDPR e con le altre normative sulla privacy applicabili.
- Chiarisce ruoli e responsabilità all’interno dell’organizzazione.
- Migliora competenze e processi interni, prevenendo le violazioni.
- Garantisce trasparenza sui controlli stabiliti per la gestione della privacy.
- Facilita gli accordi con le aziende partner nei quali il trattamento delle PII è rilevante per entrambi.
- Si integra in modo semplice con lo standard leader nella sicurezza delle informazioni, l’ISO/IEC 27001.
Nella considerazione dei consumatori, come degli altri stakeholder, cresce sempre più l’esigenza di fiducia e assunzione di responsabilità per le informazioni personali. Le imprese devono rispondere e il rischio va al di là della compliance normativa. Le aziende devono aver acquisito le giuste competenze, messo in atto processi e sistemi e l’ISO/IEC 27701 può essere un buon punto di partenza per questo percorso.