Lo standard ISO/IEC 27701 (Tecniche di sicurezza – Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e linee guida), di recente pubblicazione, rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali.
La norma fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso una serie di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001:2013 per la gestione della sicurezza delle informazioni.
Si tratta quindi di un’estensione ai dati personali dei requisiti dello standard ISO/IEC 27001 (che consente alle aziende di implementare un sistema di gestione volto ad assicurare la sicurezza del patrimonio informativo aziendale) e, per tale ragione, necessita della preventiva o contestuale implementazione della norma di base.
In sostanza, le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’ISMS alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII - Personally Identifiable Information).
La norma, che nasce proprio con l’obiettivo di implementare un sistema per la protezione dei dati personali (PIMS) ed è stata progettata per essere utilizzata da tutte le organizzazioni (siano esse Titolari del trattamento o Responsabili) è fondata su un approccio basato sul rischio in modo che ciascuna organizzazione, che voglia essere e mantenersi conforme, affronti i rischi specifici riguardanti il trattamento dei dati personali a cui è soggetta. La ISO/IEC 27701 è quindi applicabile per tutte le organizzazioni, qualunque sia la loro dimensione e il loro settore di attività.
Come già anticipato, la norma fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come Titolare del trattamento, sia come Responsabile.
I requisiti della norma sono suddivisi in due capitoli:
Clausola 5 - requisiti specifici PIMS relativi al contesto ISO/IEC 27001 (leadership, pianificazione, supporto, esercizio operativo del sistema, valutazione, miglioramento)
Clausola 6 – indicazioni specifiche PIMS relative ai controlli ISO/IEC 27002 (politiche di sicurezza, organizzazione della sicurezza, sicurezza delle risorse umane, asset management, controllo degli accessi, crittografia, sicurezza fisica, sicurezza operativa, sicurezza delle comunicazioni, sviluppo dei sistemi, relazioni con i fornitori, incidenti di sicurezza, progresso nel business, conformità a leggi, regolamenti e contratti)
Perché implementare la 27701?
La ISO/IEC 27701, avendo una portata mondiale, stabilisce un linguaggio comune tra le legislazioni e fornisce un quadro di riferimento in materia di protezione dei dati personali riconosciuto a livello internazionale.
La norma ha anche il vantaggio di fornire alle organizzazioni delle linee guida per una gestione efficace dei dati personali e dei diritti degli interessati e assicurare trasparenza sui controlli stabiliti per la gestione della privacy.
Inoltre, come specificato proprio nella parte introduttiva della norma, “una organizzazione che si conformi ai requisiti del documento produrrà una serie di evidenze formali che documentano come essa gestisce i dati personali. Queste evidenze possono facilitare gli accordi con i business partner laddove la gestione dei dati personali sia un aspetto rilevante per entrambi. Queste evidenze possono anche essere di ausilio nella relazione con altri stakeholder”.
Ciò significa che, adeguandosi alla ISO/IEC 27701, l’organizzazione faciliterà gli accordi con i partner commerciali costruendo la fiducia nelle capacità dell’azienda di gestire le informazioni personali di clienti, fornitori e dipendenti. Uno degli obiettivi è, infatti, quello di aiutare i Titolari e Responsabili a dare fiducia ai propri clienti e potenziali clienti, nonché alle autorità.
Lo standard ha pure il beneficio di chiarire ruoli e responsabilità sul trattamento dei dati personali all’interno dell’organizzazione. Aumentando la consapevolezza e migliorando la competenza interna, diminuisce il rischio di errore e, conseguentemente, le possibilità che accada un data breach.
Da quanto appena esposto, è facile derivare i vantaggi che la ISO/IEC 27701 può avere a livello di accountability, ovvero di responsabilizzazione diretta di chi definisce le finalità ed i mezzi (titolare) oppure esegue un trattamento di dati personali (responsabile), poiché fornisce uno strumento per documentare i razionali alla base di qualsiasi scelta di natura tecnica/organizzativa che riguarda l’implementazione di un trattamento.
Infatti, lo standard sostiene la conformità al GDPR e alla normativa privacy mediante la costruzione di un sistema di gestione dei dati personali.
