Cerca
  • Maurilio Savoldi

ISO/IEC 27701: 2019, Legge (Federale) sulla Protezione dei Dati e (o) il GDPR

L’Iso ha emesso nel corso del 2019 la norma, la ISO/IEC 27701: 2019 che specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione delle Informazioni sulla Privacy (Privacy Information Management System - PIMS ) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.

Lo standard arriva dopo che l’Europa ha introdotto il Regolamento generale sulla protezione dei dati personali (GDPR) producendo sia un effetto innovativo all’approccio della protezione die dati personali, essendo la prima volta che si parla esplicitamente di sistema di gestione dei dati personali, che un effetto di armonizzazione rispetto alle normative esistenti sulla privacy dei dati che riflettono le realtà del mondo digitale in cui viviamo attualmente.

Per quanto riguarda la Svizzera, la norma arriva prima dell’introduzione dei principi del GDPR nella nuova Legge Federale sui Dati Personali (LPD), rappresentando così un’opportunità ulteriore per creare sistemi veramente utili, senza creare sovrastrutture (come spesso è accaduto in Europa)!

Per questo, è assolutamente necessario avere come riferimento al standard ISO/IEC 27701 nella definizione di schemi per i trattamenti di dati personali e, ovviamente, per una loro eventuale loro certificazione (garantendo così rapporti “sicuri” bilaterali tra nazioni aderenti alla UE e le nazioni extra UE).

Ricordiamo che, con l’introduzione del principio di “accountability” nel GDPR, è stato fatto un salto di qualità non indifferente nella regolamentazione della privacy, responsabilizzando gli attori coinvolti nel trattamento dei dati personali, indipendentemente dal ruolo ricoperto, stressando, al contempo il concetto di sicurezza delle informazioni.

Tuttavia, il GDPR non da istruzioni operative, lasciando queste alla “libera interpretazione” delle singole organizzazioni.

Proprio per questo motivo, a livello internazionale (quindi non solo in Europa) ISO ed IEC hanno deciso di predisporre uno strumento pratico sulla scia di quanto già definito nel passato, in particolare, con riferimento alla norma ISO/IEC 27001:2017 (Tecnologie Informatiche - Tecniche di sicurezza - Sistemi di gestione della sicurezza dell'informazione – Requisiti)

La 27701 ha una struttura comune alle norme gestionali Iso, composta da:

  • una parte introduttiva nella quale si ribadiscono obiettivi e campo di applicazione, le altre normative di riferimento, la terminologia;

  • una sezione di “Terms, definitions and abbreviations” dove si fa esplicito riferimento alle definizioni di titolare del trattamento (in inglese controller) e di Privacy Information Management System, proprio a sottolineare la focalizzazione del documento sul tema privacy e protezione dei dati personali

  • i paragrafi che contengono i requisiti da soddisfare per garantire la conformità alla normativa.

  • Gli allegati, sei, che riportano sia controlli (cioè misure tecnico/organizzative di mitigazione del rischio privacy), sia riferimenti alle altre normative ISO/IEC vigenti. Proprio queste, rappresentano rispetto al GDPR strumenti utili per un corretto approccio implementativo.

Gli allegati sono particolarmente importanti perché contengono i controlli da implementare in un PIMS (Annex A) da un’organizzazione che si configuri come Titolare del Trattamento; i controlli che devono essere implementati in un PIMS da un’organizzazione che si configuri come Responsabile del Trattamento (Annex B); il mapping dei paragrafi ISO/IEC 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR (Annex D), un allegato questo, di estremo interesse.

Di conseguenza, la norma ISO/IEC 27701: 2019 rappresenta un riferimento fondamentale per chi voglia adeguare, o verificare, il corretto adeguamento del GDPR o per chi, come le aziende svizzere, si trovano a dover adeguare la propria organizzazione al nuovo assetto legislativo, diventando così un importante strumento per i vari stakeholder coinvolti nella protezione dei dati personali:

  • le organizzazioni che hanno uno schema dettagliato di requisiti e controlli da implementare per dimostrare la conformità alla legislazione vigente (accountability), integrabile come gestione e modalità operative con gli altri schemi Iso implementati;

  • i DPO, che hanno uno strumento dettagliato per adempiere a quanto richiesto dall’art 39 paragrafo 1 punti (a) e (b);

  • gli organi ispettivi che hanno a disposizione una checklist dettagliata rispetto alla quale poter impostare i controlli di merito.

Questo fa della ISO/IEC 27701: 2019 un tassello fondamentale nella progettazione e realizzazione di trattamenti di dati personali che salvaguardino libertà e diritti fondamentali degli interessati, tanto più in contesti come quello svizzero, dove le organizzazioni stanno iniziando ad adeguarsi.

Un’ultima osservazione, forse banale ma che è sempre bene ricordare, è che la norma ha carattere volontario e rappresenta, come abbiamo detto, una guida alla realizzazione di un “sistema di gestione privacy”; questo ne fa uno strumento complementare e, aggiungerei, di supporto alla legislazione vigente (LPD o GDPR) ma non la sostituisce. Di conseguenza, il non rispetto normativo porta, al più, ad osservazioni o Non Conformità (NC) da parte degli auditor, ma il non rispetto della legislazione porta a conseguenze ben più gravi con multe e/o procedimenti penali da parte delle autorità competenti.


Fonti: