NEWS

La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019

Sulla valutazione dei rischi per la sicurezza dei dati personali, come richiede il Regolamento UE 679/2016, si è molto scritto e molto dibattuto. In questo articolo si vogliono fornire alcune considerazioni sul tema, analizzando i requisiti della ISO/IEC 27001:2013 e della ISO/IEC 27701:2019, alla luce del GDPR.

Monica Perego, membro del Comitato Scientifico di Federprivacy

(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)

Anzitutto è bene considerare la valutazione dei rischi nella prospettiva della ISO/IEC 27001:2013, della ISO/IEC 27701:2019 e del Regolamento UE 2016/679.

La ISO/IEC 27001:2013 "Sistemi per la gestione della sicurezza delle informazioni – Requisiti”, la ISO/IEC 27701:2019 “Estensione della ISO/IEC 27001 e della ISO/IEC 27002 per la gestione della privacy delle informazioni - Requisiti e linee guida” ed il Regolamento UE 2016/679 trattano della valutazione dei rischi. Dai risultati di tali valutazioni discendono le misure che devono essere applicate per garantire le finalità che le norme volontarie e il Regolamento si pongono.

Cesare Gallotti, delegato italiano ai lavori dell'ISO/IEC JTC 1 SC 27 Comitato specializzato nella redazione degli standard internazionali relativi alla sicurezza delle informazioni e l’autrice di questo articolo, hanno condiviso le seguenti finalità degli standard:

- La ISO/IEC 27001:2013 mira alla tutela dell'organizzazione relativamente alla sicurezza delle informazioni. La valutazione dei rischi (requisito 6.2) riguarda quelli relativi alla riservatezza, integrità e disponibilità delle informazioni e considera gli impatti e le conseguenze a lungo termine sull'organizzazione, in caso di perdita di tali attributi.

- Il Regolamento UE 2016/679 e la ISO/IEC 27701:2019 mirano alla sicurezza dei dati personali; la valutazione dei rischi considera gli impatti sugli interessati in relazione ai loro diritti e libertà, in caso di perdita di riservatezza, integrità e disponibilità dei dati personali.

La differenza, sia pur sottile, merita di essere considerata ed approfondita; la stessa ISO/IEC 27701:2019 nella nota al requisito 5.4.1.2 “Information security risk assessment” specifica “The organization can either apply an integrated information security and privacy risk assessment process or two separate ones for information security and the risks related to the processing of PII.” - “L'organizzazione può applicare un unico processo integrato di valutazione dei rischi per la sicurezza delle informazioni e la protezione dei dati personali oppure due processi separati per la sicurezza delle informazioni e i rischi relativi all'elaborazione dei dati personali dell’interessato.”

L'art.35 del Gdpr prevede una valutazione d'impatto quando il trattamento dei dati personali comporta un rischio per le libertà dell'interessato

Viene quindi implicitamente chiarito che si tratta di due diverse valutazioni dei rischi che possono, a discrezione dell’organizzazione, essere o meno integrate. Solo il contesto in cui si opera (req. 4.1), le esigenze ed aspettative delle parti interessate (req. 4.2) ed il campo di applicazione del/dei sistemi di gestione (req. 4.3), potranno permettere di identificare se è più opportuno predisporre un’unica valutazione, integrando quella richiesta dalla ISO/IEC 27001:2013 con quella richiesta dal Regolamento UE 2016/679 e dalla ISO/IEC 27701:2019, oppure optare per due valutazioni separate. L’aspetto da considerare, quando si predispongono valutazioni separate è che alcuni rischi devono essere presenti in entrambe le analisi e si rischia di proprre inutili doppioni. Qualche semplice esempio può aiutare:

- uno scenario di rischio, di norma comune ad entrambi i criteri, è l’incendio nella sala server, che potrebbe comportare la perdita - anche momentanea - della disponibilità dei dati e della possibilità di esercitare, da parte degli interessati, alcuni diritti. A tale rischio è associata, per entrambi i criteri, la stessa probabilità (trattandosi del medesimo evento), mentre può variare, a seconda dei tipi di dati e della loro quantità, il valore associato alla gravità;

- d’alta parte, l’impedimento all’esercizio del controllo sui dati personali da parte degli interessati, e quindi dell’esercizio dei loro diritti quanto applicabile, ovvero la mancanza o l’incompletezza dell’informativa da fornire agli interessati, sono rischi che devono essere considerati nel solo contesto della protezione dei dati personali.

Inoltre, nella ISO/IEC 27701:2019 viene specificato che il requisito della ISO/IEC 27001:2013, 6.1.2 d) 1) è integrato con un ulteriore requisito; anche in questo caso si tratta di una lettura molto stimolante anche se non così evidente ad una prima analisi.

La ISO/IEC 27001:2013 al requisito “6.1.2 Valutazione del rischio relativo alla sicurezza delle informazioni” specifica che l’organizzazione deve definire e applicare un processo di valutazione del rischio relativo alla sicurezza delle informazioni che:

- analizzi i rischi relativi alla sicurezza delle informazioni
- valuti le possibili conseguenze che risulterebbero se i rischi identificati al punto 6.1.2 c) 1) si concretizzassero

La ISO/IEC 27701:2019 aggiunge: “The organization shall assess the potential consequences for both the organization and PII principals that would result if the risks identified in ISO/IEC 27001:2013, 6.1.2 c) as refined above, were to materialize.” - “L'organizzazione deve valutare le potenziali conseguenze, sia per l'organizzazione che per gli interessati, che potrebbero risultare se i rischi identificati nella norma ISO/IEC 27001:2013, 6.1.2 c), così come indicati, dovessero concretizzarsi.

Quindi, il focus sulla valutazione dei rischi, così come richiesta dalla ISO 27701:2019 e dal Regolamento UE 2016/679 è centrato sulle conseguenze in termini di diritti e libertà dell’interessato.

Ovviamente, in molti casi, anzi nella stragrande maggioranza, tali conseguenze sono le medesime nel caso di perdita degli attributi di riservatezza, integrità e disponibilità dei dati che sono l’oggetto della valutazione dei rischi della ISO/IEC 27001:2013.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Approvato dalla Commissione europea un provvedimento sulla sicurezza dei dispositivi senza fili
Next Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy