ISO/IEC 27701: le opportunità per la compliance al GDPR

ISO/IEC 27701: le opportunità per la compliance al GDPR

Per avere una robusta compliance al GDPR, la norma ISO/IEC 27701 offre senz’altro un valido ausilio anche operativo. Tratteggiamone le caratteristiche più salienti.

 Chiara Ponti
Renato Castroreale

INDICE:

Lo standard Iso/Iec 27001 come base

Richiamando quanto già detto con riferimento, in generale, alla Sicurezza delle Informazioni  un’Organizzazione deve aver già adottato lo Standard ISO/IEC 27701, come base sulla quale sviluppare l’estensione alla ISO/IEC 27701.

Che cos’è la Iso/Iec 27701

Lo standard ISO/IEC 27701 si pone l’obiettivo di guidare nel processo di implementazione di un cosiddetto PIMS (Privacy Information Management System). Il vantaggio di questa norma è che la stessa rappresenta una integrazione della ISO/IEC 27001, ed offre a chi decide di adottare entrambi i sistemi, un approccio sinergico ed integrato al tema della sicurezza delle Informazione ed al GDPR. Per contro, il fatto che tale norma necessiti di una base ISO/IEC 27001, la rende “attraente” per chi ha già sviluppato un sistema di gestione ISO/IEC 27001, ma molto meno a chi interessa esclusivamente la compliance al GDPR. Si noti il fatto che il legame con la 27001 fa di essa una norma “tecnica”, con una struttura snella, funzionale e molto ben chiara nella definizione degli obiettivi e sul percorso di implementazione (come tutte le Norme ISO della “famiglia” 27000): si tratta quindi di decidere se questo tipo di approccio possa costituire un vantaggio o meno per l’organizzazione.

Iso/Iec 27701 e GDPR

Ai fini del nostro articolo essa è indubbiamente un punto di riferimento essenziale ed imprescindibile per l’integrazione dei sistemi, ed in particolar modo per la compliance al GDPR. Tutte le Organizzazioni, poiché elaborano sicuramente dati personali sia in qualità di Titolare che di Responsabile del trattamento, hanno la necessità di attuare una protezione per questo tipo di Informazioni ancora più attenta rispetto alle esigenze di sicurezza determinate dal sistema di sicurezza delle informazioni. É proprio in questo ambito che si colloca la ISO/IEC 27701 che fornisce una implementazione dei principi e dei controlli espressi dalla ISO/IEC 27001 sia in ordine al contesto di elaborazione diretto che per quanto concerne la collaborazione con altre strutture (Responsabili e/o Contitolari). La ISO/IEC 27701 include anche come vedremo, una mappatura rispetto alle norme (particolarmente utile):
  1. ISO/IEC 29100;
  2. ISO/IEC 27018;
  3. ISO/IEC 29151;
  4. GDPR – Regolamento (UE) 679/2016
La norma è attualmente disponibile solo in lingua inglese, ed utilizza abbondantemente alcuni termini ricorrenti che vanno correttamente tradotti ed interpretati. Sulla comprensione di questi vocaboli, si gioca infatti gran parte della corretta interpretazione ed applicazione della norma stessa, salvaguardando quanto maggiormente possibile la compatibilità con il GDPR. Prima di procedere ad una analisi della norma, ed i relativi commenti, ci soffermeremo quindi ad analizzare e tradurre questi vocaboli. Si prenda nota che non si tratta di una traduzione letterale dei termini, ma è interpretativa e finalizzata a rendere maggiormente comprensibili e compatibili i temi trattati con l’integrazione al GDPR.

Guida operativa all’uso della 27701

La ISO 27701 fornisce un insieme di allegati  che ci aiuteranno nello sviluppare controlli idonei, sia al fine di implementare le necessarie misure di sicurezza e di adeguamento, che financo nello sviluppo della valutazione dei rischi.Ciò che, tuttavia, la 27701 non potrà fare rispetto alle esigenze di compliance e quindi allo sviluppo di un completo MOP (PianoPrivacy®) sarà quello di fornire esempi di documenti necessari.

Non troverete, infatti, indicazioni a come sviluppare politiche, procedure, a mantenere le necessarie evidenze nonché a sviluppare tutti quei documenti (quali ad esempio contratti e nomine) anch’essi indispensabili alla compliance GDPR, per i quali occorrerà rivolgersi ad esperti Consulenti.

Per contro, la 27701 è uno strumento completo ed in grado di indirizzare correttamente le tematiche di sicurezza ed analisi dei rischi, come precedentemente indicato; e nel farlo si “appoggia” alla ISO 27001 creando valore nonché i presupposti per una celere integrazione.

Un esempio dei controlli implementati

Please provide a valid CSV file.

ISO standard: le definizioni

Forniamo di seguito le definizioni date dalla ISO utili a chiarire alcune interpretazioni per poter meglio applicare lo Standard ISO.

  • PIMS – Privacy Information Management System – Sistema di gestione Privacy
    Nella norma in disamina si parla di PIMS riferendosi ad un possibile Modello di Gestione della Privacy. A noi piace assumere che questo termine possa essere assimilato al MOP (Modello Organizzativo Privacy) inteso come un sistema di gestione volto a garantire la conformità al GDPR (non solo alla privacy).
  • PII – Personal Identification Information – Informazioni Identificative Personali
    Nella norma ricorre ampiamente all’uso di questo acronimo, che nella nostra personalissima traduzione ed interpretazione, considereremo come “Informazioni Identificative Personali” o meglio dati personali.
    Cercando quindi un’armonizzazione con i termini utilizzati dal GDPR, potremmo affermare che le PII sono da considerarsi a tutti gli effetti i cosiddetti dati personali, ossia “qualsiasi informazione riguardante una persona fisica, identificata ed identificabile.” (Art. 4 n 1).
  • PII Principals – Interessato
    Anche se la traduzione letterale di Principals propenderebbe per una interpretazione differente, noi riteniamo che il termine debba essere assimilato al concetto di Interessato.
    Il termine Interessato, pur non comparendo in maniera esplicita tra le definizioni espresse nel GDPR, lo troviamo citato all’art. 4 tra parentesi con riferimento alla prima definizione esposta relativamente al “dato personale”.
    L’Interessato è quindi noto come il proprietario del Dato Personale nonché l’attore principale che il GDPR ha voluto tutelare.
    Un’altra definizione che può definire il termine di Interessato è quella data da un soggetto (ditta individuale, libero professionista) in un rapporto business-to-customer (B2C) con una organizzazione.
  • Customer – Cliente
    Nella norma in questione, il Cliente viene inteso come Interessato quando in realtà il termine può riguardare anche rapporti business-to-business (B2B) e quindi assumere un significato completamente differente.
    Noi lo utilizzeremo per riferirci genericamente a qualsiasi soggetto (persona fisica o meno) il quale abbia un rapporto con l’organizzazione, titolare del Trattamento (di cui parleremo tra poco) oppure qualsiasi soggetto che abbia una relazione di tipo business-to-consumer con un’organizzazione.
  • PII Controllers – Titolari del Trattamento
    La ISO/IEC 27701 offre ancora una definizione di titolare del Trattamento. Nella nostra traduzione — seppure interpretativa — quest’ultimo, è il soggetto che stabilisce finalità e mezzi di trattamento delle importazioni dei dati. Esattamente come lo definisce il GDPR all’art. 24
  • PII Processors – Responsabile del Trattamento
    Il PII Processor è inteso dalla 27701 come il soggetto che effettua l’elaborazione dei dati. Riteniamo, tuttavia, che tale accezione sia riduttiva e che sia più corretto intendere costui come il responsabile del Trattamento. Rammentiamo che quest’ultimo è colui che tratta dati personali per conto e secondo il perimetro del contratto o altro atto giuridico stipulato con il titolare. Anche questo concetto viene bene esplicitato dal GDPR all’art. 28.
  • Joint PII Controller – Contitolari del Trattamento
    Il Joint Controller è definito dalla ISO in disamina, come la figura che collabora con il Controller al trattamento dei dati. Secondo la nostra personalissima interpretazione esso va inteso come il soggetto che congiuntamente al titolare del trattamento determina finalità e mezzi, qualificato non a caso Contitolare. Anche il GDPR fornisce una definizione di tale figura all’art. 26.

I Punti di Norma: una panoramica generale

Una volta chiarite queste interpretazioni, per facilitare ulteriormente la lettura della norma, precisiamo che la stessa presenta una struttura alquanto particolare che val la pena commentare rapidamente:

  1. Il punto 5 stabilisce quali sono i requisiti specifici del sistema di gestione privacy oltre a quelli della norma ISO/IEC 27001 da considerare quando un soggetto opera in qualità titolare o responsabile del Trattamento.
  2. Il punto 6 offre una specifica guida per il sistema di gestione privacy implementando i controlli di sicurezza delle informazioni presenti nella ISO/IEC 27002 con istruzioni riferite all’organizzazione che agisce come titolare o responsabile del Trattamento.
  3. Anche il punto 7 fornisce una guida aggiuntiva per i Titolari del Trattamento.
  4. Il punto 8 infine fornisce ulteriori indicazioni per i responsabili del trattamento implementando i controlli della norma 27002.

Per ulteriori approfondimenti, consigliamo questa lettura.

Gli Allegati ISO

La norma include poi una serie di allegati che meritano di essere qui rapidamente illustrati e successivamente dettagliati:
  1. L’allegato A si occupa di elencare gli obiettivi ed i controlli specifici del sistema di gestione privacy per un’organizzazione che agisca in qualità di titolare del trattamento di dati personali, a prescindere dal fatto che si utilizzi un responsabile del trattamento o meno ovvero in contitolarità con altro titolare, come previsto dall’art. 26 del GDPR.
  2. L’allegato B invece indica gli obiettivi ed i controlli specifici del sistema di gestione privacy in relazione ad un’organizzazione in funzione di responsabile del Trattamento a prescindere da una eventuale sub-responsabilità come prevista dall’art. 28 del GDPR.
  3. L’allegato C contiene invece una comparazione tra i punti di norma della ISO/IEC 29100 (Information Technology – Security Techniques – privacy Framework) ed i controlli della 27701.
  4. L’allegato D analogamente compara la struttura della ISO/IEC 27701 rispetto agli articoli del GDPR.
  5. L’allegato E mappa i punti di norma 27701 con quelli della 27018 oltre a quelli della ISO/IEC 29151 (Information Technology – Security Techniques – Code of Practice for personally identifiable Information Protection)
  6. L’allegato F, infine, spiega come estendere i requisiti e le linee guida della ISO/IEC 27701 e 27002 alla protezione dei dati personali.

Hai bisogno di un supporto? Richiedi una consulenza

Informativa breve ex art. 13 Regolamento UE 2016/679 per il Trattamento dei Dati Personali
Sistemi HS S.p.A. con sede in Via Torino, 176 –  10093 Collegno (TO), facente parte del Gruppo SISTEMI UNO, (di seguito Gruppo), in qualità di Titolare del Trattamento tratterà i Suoi Dati Personali per le seguenti finalità: a) Gestione dell’invio delle informazioni richieste tramite il modulo di contatto, la cui base giuridica del trattamento è l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6.1.b del Regolamento). Inoltre, previo Suo specifico consenso, i dati potranno essere trattati per: b) l’invio di comunicazioni promozionali e di marketing, incluso l’invio di newsletter e ricerche di mercato, attraverso strumenti automatizzati e non automatizzati; c) la comunicazione dei dati personali alle altre Società del Gruppo per le medesime finalità. Al riguardo, tali attività di Trattamento saranno effettuate in conformità al Provvedimento del Garante della protezione dei dati personali del 4 luglio 2013. Per ogni ulteriore chiarimento o dettaglio si rimanda all’informativa estesa. Letta e compresa l’informativa privacy:
Torna in alto