I controlli della Norma ISO 27001:2022 sul ciclo di vita dell’autorizzato al trattamento dei dati personali
La Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, pubblicata recentemente, ha completamento rivisto l’impianto dei controlli dello standard. Una parte rilevante dei controlli sono quelli afferenti alla sezione 6, relativa ai controlli sulle persone – “People controls”. Tali controlli riguardano la tutela del patrimonio di dati aziendali, e ben si applicano anche alla tutela di quelli personali; i controlli relativi alle persone sono otto e non hanno subito modifiche rilevanti rispetto alla versione pubblicata nel 2013.
Sei di questi controlli - dal 6.1 al 6.5 - seguono il ciclo di vita del collaboratore analizzando: selezione, condizioni di impiego, attività di formazione (riprendendo in questo caso, parzialmente, quanto previsto, dalla norma, ai requisiti 7.2 “Competenza”e 7.3 “Consapevolezza”), processo disciplinare, cessazione e variazione del rapporto di collaborazione.
In questo articolo si svolgerà una disamina di tali controlli, la cui trattazione completa è rimandata alla stessa norma, disponibile sui siti della UNI e della ISO.
I controlli relativi alle persone - I controlli dal 6.1 al 6.5 della ISO/IEC 27001:2022 riguardano il ciclo di vita di un collaboratore all’interno di un’organizzazione.
È interessante notare che i controlli non sono rivolti esclusivamente ai dipendenti, ma si possono applicare a qualunque soggetto tratti i dati per conto dell’organizzazione, siano essi dipendenti, interinali, a tempo pieno, collaboratori distaccati presso un’altra organizzazione committente, liberi professionisti, stagisti, tirocinanti, volontari o collaboratori coinvolti con altre forme. Le procedure interne dell’organizzazione devono considerare tutte queste casistiche e non limitarsi, come si potrebbe più facilmente immaginare, ad una sola casistica.
Nello specifico la descrizione dei controlli prevede quanto di seguito indicato:
6.1 - Screening; sintesi del controllo: prima dell’avvio del rapporto di collaborazione, devono essere effettuati, tenendo conto delle normative vigenti, gli opportuni controlli sui soggetti candidati ad entrare a far parte dell’organizzazione. Tali controlli devono essere proporzionali al livello di classificazione dei dati che il candidato dovrà trattare in base alla posizione ricoperta, ai requisiti, anche contrattuali, che l’organizzazione deve rispettare, e basati sui rischi percepiti. I controlli dovranno essere continuativi (ad esempio in caso di cambio mansione).
Note integrative - Tra i controlli: casellario giudiziale (ferme restando le limitazioni poste dalla normativa italiana), attestato del percorso di studi certificato dall’ente emittente e/o certificazione delle competenze acquisite, iscrizione ad un ordine professionale, referenze di precedenti datori di lavoro, ecc. Alcuni documenti (es. iscrizione ad un ordine professionale) possono essere richiesti ad intervalli per verificare il mantenimento nel tempo dei requisiti richiesti; i documenti potrebbero essere trasmessi anche ai committenti per la valutazione del candidato.
6.2 - Terms and conditions of employment; sintesi del controllo: gli accordi contrattuali con i collaboratori devono definire le responsabilità degli stessi e dell'organizzazione riguardo la garanzia della sicurezza delle informazioni.
Note integrative - Gli strumenti disponibili sono vari: mansionario/job description, atto di nomina ad autorizzato, regolamenti, politiche, procedure ed istruzioni, codice etico, sistema sanzionatorio (ripreso nel controllo 6.4), documentazione contrattuale, considerando anche quanto previsto dal D.lgs 104/2022 cd Decreto Trasparenza, ecc. (tali documenti sono oggetto della formazione come richiamato nel controllo 6.3). Non va dimenticato che il focus del controllo riguarda le misure da mettere in atto per garantire la sicurezza delle informazioni e non la documentazione in termini generali.
6.3 - Information security awareness, education and training; sintesi del controllo: il personale dell'organizzazione e le parti rilevanti interessate (ad esempio soggetti terzi come liberi professionisti), devono ricevere un'adeguata sensibilizzazione, istruzione e formazione sulla sicurezza delle informazioni. Inoltre devono ricevere ad intervalli ed in modo regolare gli aggiornamenti sulla politica per la sicurezza delle informazioni, nonché sulle politiche e procedure specifiche rilevanti in relazione alla mansione che ricoprono.
Note integrative - L’acquisizione di competenza e di consapevolezza (prevista anche dai requisiti 7.2 e 7.3 dello standard) deve essere pianificata all’ingresso del collaboratore ed in occasione: dei cambi mansione, ad intervalli, nonché in occasione di eventi critici (data breach, incidenti o potenziali incidenti riguardanti la sicurezza delle informazioni), di modifiche ai sistemi informatici e più in generale alle procedure interne, dell’introduzione di nuovi trattamenti, o di modifica di trattamenti già in corso (come parte del processo di privacy by design). Per tali documenti deve essere definita una modalità per garantirne l’aggiornamento e la distribuzione alle parti interessate (si veda anche quanto riportato nel controllo 6.5).
(Nella foto: l'Ing. Monica Perego, docente al Corso sulla ISO 27001:2022)
6.4 - Disciplinary process; sintesi del controllo: deve essere definito e comunicato un processo disciplinare volto ad intraprendere azioni rispetto al personale ed alle altre parti interessate rilevanti, che abbiano commesso una violazione della politica sulla sicurezza delle informazioni e più in generale sulle misure volte a garantire la sicurezza dei dati.
Note integrative - La somministrazione di sanzioni, ove il collaboratore, adeguatamente formato (controllo 6.3) ed in possesso delle risorse necessarie per poter svolgere il proprio lavoro, non avesse rispettato quanto previsto dalle regole interne (controllo 6.2), è uno dei pochi strumenti di cui dispone il Titolare per poter dimostrare l’esercizio del controllo. Le sanzioni, che devono basarsi anche su quanto previsto dal CCNL e da eventuali accordi interni all’organizzazione, devono essere comunicate come flusso al DPO.
6.5 - Responsibilities after termination or change of employment; sintesi del controllo: devono essere definite, applicate e comunicate al personale interessato, ed alle altre parti coinvolte, le responsabilità e gli obblighi in materia di sicurezza delle informazioni, che rimangono validi anche dopo la cessazione o la modifica del rapporto di collaborazione.
Note integrative - Le responsabilità di un collaboratore non cessano con la chiusura del rapporto di lavoro; esse proseguono, anche secondo quanto definito contrattualmente nei tempi e nei modi, dopo il termine o la modifica dello stesso. Anche la stessa organizzazione si deve assumere delle responsabilità (es. tempi e modi per la conservazione degli archivi di posta elettronica dell’ex-collaboratore). I documenti contrattuali (di cui al controllo 6.2) devono fornire indicazioni in merito.
Conclusione - Per quanto la ISO/IEC 27001:2022 non si occupi in modo esplicito dei dati personali, le misure relative alle persone, come, del resto, la maggiore parte delle misure previste dallo standard, hanno dei risvolti che forniscono indicazioni a valere anche sulla protezione dei dati; quelli relativi alle persone sono ottimo un esempio: le misure indicate sono facilmente e efficacemente estendibili alla tematica in questione. L’applicazione di questi controlli avvicina un’organizzazione verso l’implementazione di uno standard la cui diffusione è planetaria.