ISO/IEC 27701: le opportunità per la compliance al GDPR

Per avere una robusta compliance al GDPR, la norma ISO/IEC 27701 offre senz’altro un valido ausilio anche operativo. Tratteggiamone le caratteristiche più salienti.

 Chiara Ponti
Renato Castroreale
Ufficio Compliance

INDICE:

Lo standard Iso/Iec 27001 come base

Richiamando quanto già detto con riferimento, in generale, alla Sicurezza delle Informazioni  un’Organizzazione deve aver già adottato lo Standard ISO/IEC 27701, come base sulla quale sviluppare l’estensione alla ISO/IEC 27701.

Che cos’è la Iso/Iec 27701

Lo standard ISO/IEC 27701 si pone l’obiettivo di guidare nel processo di implementazione di un cosiddetto PIMS (Privacy Information Management System). Il vantaggio di questa norma è che la stessa rappresenta una integrazione della ISO/IEC 27001, ed offre a chi decide di adottare entrambi i sistemi, un approccio sinergico ed integrato al tema della sicurezza delle Informazione ed al GDPR. Per contro, il fatto che tale norma necessiti di una base ISO/IEC 27001, la rende “attraente” per chi ha già sviluppato un sistema di gestione ISO/IEC 27001, ma molto meno a chi interessa esclusivamente la compliance al GDPR. Si noti il fatto che il legame con la 27001 fa di essa una norma “tecnica”, con una struttura snella, funzionale e molto ben chiara nella definizione degli obiettivi e sul percorso di implementazione (come tutte le Norme ISO della “famiglia” 27000): si tratta quindi di decidere se questo tipo di approccio possa costituire un vantaggio o meno per l’organizzazione.

Iso/Iec 27701 e GDPR

Ai fini del nostro articolo essa è indubbiamente un punto di riferimento essenziale ed imprescindibile per l’integrazione dei sistemi, ed in particolar modo per la compliance al GDPR. Tutte le Organizzazioni, poiché elaborano sicuramente dati personali sia in qualità di Titolare che di Responsabile del trattamento, hanno la necessità di attuare una protezione per questo tipo di Informazioni ancora più attenta rispetto alle esigenze di sicurezza determinate dal sistema di sicurezza delle informazioni. É proprio in questo ambito che si colloca la ISO/IEC 27701 che fornisce una implementazione dei principi e dei controlli espressi dalla ISO/IEC 27001 sia in ordine al contesto di elaborazione diretto che per quanto concerne la collaborazione con altre strutture (Responsabili e/o Contitolari). La ISO/IEC 27701 include anche come vedremo, una mappatura rispetto alle norme (particolarmente utile):
  1. ISO/IEC 29100;
  2. ISO/IEC 27018;
  3. ISO/IEC 29151;
  4. GDPR – Regolamento (UE) 679/2016
La norma è attualmente disponibile solo in lingua inglese, ed utilizza abbondantemente alcuni termini ricorrenti che vanno correttamente tradotti ed interpretati. Sulla comprensione di questi vocaboli, si gioca infatti gran parte della corretta interpretazione ed applicazione della norma stessa, salvaguardando quanto maggiormente possibile la compatibilità con il GDPR. Prima di procedere ad una analisi della norma, ed i relativi commenti, ci soffermeremo quindi ad analizzare e tradurre questi vocaboli. Si prenda nota che non si tratta di una traduzione letterale dei termini, ma è interpretativa e finalizzata a rendere maggiormente comprensibili e compatibili i temi trattati con l’integrazione al GDPR.

Guida operativa all’uso della 27701

La ISO 27701 fornisce un insieme di allegati  che ci aiuteranno nello sviluppare controlli idonei, sia al fine di implementare le necessarie misure di sicurezza e di adeguamento, che financo nello sviluppo della valutazione dei rischi.Ciò che, tuttavia, la 27701 non potrà fare rispetto alle esigenze di compliance e quindi allo sviluppo di un completo MOP (PianoPrivacy®) sarà quello di fornire esempi di documenti necessari. Non troverete, infatti, indicazioni a come sviluppare politiche, procedure, a mantenere le necessarie evidenze nonché a sviluppare tutti quei documenti (quali ad esempio contratti e nomine) anch’essi indispensabili alla compliance GDPR, per i quali occorrerà rivolgersi ad esperti Consulenti. Per contro, la 27701 è uno strumento completo ed in grado di indirizzare correttamente le tematiche di sicurezza ed analisi dei rischi, come precedentemente indicato; e nel farlo si “appoggia” alla ISO 27001 creando valore nonché i presupposti per una celere integrazione.

Un esempio dei controlli implementati

27701 Titolare
7 Guida aggiuntiva alla ISO/IEC 27002 per i Titolari del Trattamento
7.1 Generale
7.2 Condizioni per la raccolta ed il trattamento
7.2.1 Identificare e documentare la finalità
7.2.2 Identificare le basi giuridiche
7.2.3 Determinare come e quando il consenso è stato ottenuto
7.2.4 Ottenere e registrare il consenso
7.2.5 Valutazione d’Impatto Privacy
7.2.6 Contratti con i Responsabili del Trattamento
7.2.7 Contitolari del Trattamento
7.2.8 Registri delle attività di Trattamento
7.3 Obblighi verso gli Interessati
7.3.1 Determinazione ed adempimento degli obblighi nei confronti degli Interessati
7.3.2 Informativa per gli Interessati
7.3.3 Obbligo di Informativa agli Interessati
7.3.4 Fornire un meccanismo per modificare o revocare il Consenso
7.3.5 Fornire un meccanismo di opposizione al Trattamento delle PII o Dati Personali
7.3.6 Accesso, rettifica e/o cancellazione delle PII o Dati Personali
7.3.7 Obblighi dei Titolari dei Trattamenti di informare terzi in caso di accesso, rettifica e/o cancellazione delle PII o Dati Personali
7.3.8 Fornire copia delle PII o Dati Personali elaborati
7.3.9 Gestione delle richieste degli Interessati
7.3.10 Processo Decisionale Automatizzato
7.4 Privacy by Design e Privacy by Default
7.4.1 Limitazione della raccolta
7.4.2 Limitazione del Trattamento
7.4.3 Precisione e qualità
7.4.4 Obiettivi di minimizzazione delle PII o Dati Personali
7.4.5 De-identificazione e/o cancellazione delle PII o Dati Personali al termine del Trattamento
7.4.6 File temporanei
7.4.7 Conservazione
7.4.8 Smaltimento
7.4.9 Controlli di trasmissione delle PII o Dati Personali
7.5 Condivisione, Trasferimento e Divulgazione delle PII o Dati Personali
7.5.1 Identificare le basi giuridiche per il trasferimento delle PII o Dati Personali tra paesi soggetti a diversi contesti normativi
7.5.2 Trasferimento di PII o Dati Personali all’estero o ad Organizzazioni Internazionali
7.5.3 Registrazione dei trasferimenti di PII o Dati Personali
7.5.4 Registrazione delle divulgazioni di PII a terze parti

ISO standard: le definizioni

Forniamo di seguito le definizioni date dalla ISO utili a chiarire alcune interpretazioni per poter meglio applicare lo Standard ISO.

  • PIMS – Privacy Information Management System – Sistema di gestione Privacy
    Nella norma in disamina si parla di PIMS riferendosi ad un possibile Modello di Gestione della Privacy. A noi piace assumere che questo termine possa essere assimilato al MOP (Modello Organizzativo Privacy) inteso come un sistema di gestione volto a garantire la conformità al GDPR (non solo alla privacy).
  • PII – Personal Identification Information – Informazioni Identificative Personali
    Nella norma ricorre ampiamente all’uso di questo acronimo, che nella nostra personalissima traduzione ed interpretazione, considereremo come “Informazioni Identificative Personali” o meglio dati personali.
    Cercando quindi un’armonizzazione con i termini utilizzati dal GDPR, potremmo affermare che le PII sono da considerarsi a tutti gli effetti i cosiddetti dati personali, ossia “qualsiasi informazione riguardante una persona fisica, identificata ed identificabile.” (Art. 4 n 1).
  • PII Principals – Interessato
    Anche se la traduzione letterale di Principals propenderebbe per una interpretazione differente, noi riteniamo che il termine debba essere assimilato al concetto di Interessato.
    Il termine Interessato, pur non comparendo in maniera esplicita tra le definizioni espresse nel GDPR, lo troviamo citato all’art. 4 tra parentesi con riferimento alla prima definizione esposta relativamente al “dato personale”.
    L’Interessato è quindi noto come il proprietario del Dato Personale nonché l’attore principale che il GDPR ha voluto tutelare.
    Un’altra definizione che può definire il termine di Interessato è quella data da un soggetto (ditta individuale, libero professionista) in un rapporto business-to-customer (B2C) con una organizzazione.
  • Customer – Cliente
    Nella norma in questione, il Cliente viene inteso come Interessato quando in realtà il termine può riguardare anche rapporti business-to-business (B2B) e quindi assumere un significato completamente differente.
    Noi lo utilizzeremo per riferirci genericamente a qualsiasi soggetto (persona fisica o meno) il quale abbia un rapporto con l’organizzazione, titolare del Trattamento (di cui parleremo tra poco) oppure qualsiasi soggetto che abbia una relazione di tipo business-to-consumer con un’organizzazione.
  • PII Controllers – Titolari del Trattamento
    La ISO/IEC 27701 offre ancora una definizione di titolare del Trattamento. Nella nostra traduzione — seppure interpretativa — quest’ultimo, è il soggetto che stabilisce finalità e mezzi di trattamento delle importazioni dei dati. Esattamente come lo definisce il GDPR all’art. 24
  • PII Processors – Responsabile del Trattamento
    Il PII Processor è inteso dalla 27701 come il soggetto che effettua l’elaborazione dei dati. Riteniamo, tuttavia, che tale accezione sia riduttiva e che sia più corretto intendere costui come il responsabile del Trattamento. Rammentiamo che quest’ultimo è colui che tratta dati personali per conto e secondo il perimetro del contratto o altro atto giuridico stipulato con il titolare. Anche questo concetto viene bene esplicitato dal GDPR all’art. 28.
  • Joint PII Controller – Contitolari del Trattamento
    Il Joint Controller è definito dalla ISO in disamina, come la figura che collabora con il Controller al trattamento dei dati. Secondo la nostra personalissima interpretazione esso va inteso come il soggetto che congiuntamente al titolare del trattamento determina finalità e mezzi, qualificato non a caso Contitolare. Anche il GDPR fornisce una definizione di tale figura all’art. 26.

I Punti di Norma: una panoramica generale

Una volta chiarite queste interpretazioni, per facilitare ulteriormente la lettura della norma, precisiamo che la stessa presenta una struttura alquanto particolare che val la pena commentare rapidamente:
  1. Il punto 5 stabilisce quali sono i requisiti specifici del sistema di gestione privacy oltre a quelli della norma ISO/IEC 27001 da considerare quando un soggetto opera in qualità titolare o responsabile del Trattamento.
  2. Il punto 6 offre una specifica guida per il sistema di gestione privacy implementando i controlli di sicurezza delle informazioni presenti nella ISO/IEC 27002 con istruzioni riferite all’organizzazione che agisce come titolare o responsabile del Trattamento.
  3. Anche il punto 7 fornisce una guida aggiuntiva per i Titolari del Trattamento.
  4. Il punto 8 infine fornisce ulteriori indicazioni per i responsabili del trattamento implementando i controlli della norma 27002.
Per ulteriori approfondimenti, consigliamo questa lettura.

Gli Allegati ISO

La norma include poi una serie di allegati che meritano di essere qui rapidamente illustrati e successivamente dettagliati:
  1. L’allegato A si occupa di elencare gli obiettivi ed i controlli specifici del sistema di gestione privacy per un’organizzazione che agisca in qualità di titolare del trattamento di dati personali, a prescindere dal fatto che si utilizzi un responsabile del trattamento o meno ovvero in contitolarità con altro titolare, come previsto dall’art. 26 del GDPR.
  2. L’allegato B invece indica gli obiettivi ed i controlli specifici del sistema di gestione privacy in relazione ad un’organizzazione in funzione di responsabile del Trattamento a prescindere da una eventuale sub-responsabilità come prevista dall’art. 28 del GDPR.
  3. L’allegato C contiene invece una comparazione tra i punti di norma della ISO/IEC 29100 (Information Technology – Security Techniques – privacy Framework) ed i controlli della 27701.
  4. L’allegato D analogamente compara la struttura della ISO/IEC 27701 rispetto agli articoli del GDPR.
  5. L’allegato E mappa i punti di norma 27701 con quelli della 27018 oltre a quelli della ISO/IEC 29151 (Information Technology – Security Techniques – Code of Practice for personally identifiable Information Protection)
  6. L’allegato F, infine, spiega come estendere i requisiti e le linee guida della ISO/IEC 27701 e 27002 alla protezione dei dati personali.

Hai bisogno di un supporto? Richiedi una consulenza

Informativa breve sul Trattamento
ex art. 13 del Regolamento Generale per la Protezione dei Dati UE 2016/679 (di seguito GDPR)
v5.0 01/05/2021
Sistemi HS S.p.A. con sede in Via Torino, 176 – 10093 Collegno (TO),  facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento (art. 24 del GDPR), si impegna costantemente nel tutelare i Dati Personali (di seguito DP). Il Titolare tratterà i DP (art. 4 par. 1 del GDPR), per le finalità che seguono. Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto del quale l’Interessato, per l’effetto, è parte (art. 6 par. 1 lett. b del GDPR). I DP potranno essere altresì trattati, sulla base del manifestato consenso, per comunicazioni promozionali e di marketing, e sulla base di un ulteriore esplicito consenso, saranno comunicati alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del GPDP del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda alla Privacy Policy.
Letta e compresa l’informativa, e quanto di cui a corredo:
Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.