Le relazioni tra Gdpr e la Norma ISO/IEC 27001
Il GDPR richiede alle organizzazioni di adottare misure tecniche e organizzative appropriate, tra cui anche politiche e procedure, per proteggere i dati personali che trattano. La Norma ISO/IEC 27001 “Sistemi di gestione della sicurezza dell'informazione – Requisiti” fornisce una serie di requisiti per ridurre la perdita di riservatezza, integrità e disponibilità. Tale standard si basa su un framework di requisiti, controlli ed analisi del rischio. In questo articolo si vuole comprendere quali sono i principali elementi in comune e le differenze tra il GDPR e lo standard sulla sicurezza delle informazioni.
(Nella foto: Monica Perego, docente al Corso 'Sistemi di Gestione della sicurezza delle informazioni')
La ISO/IEC 27001 come misura di accountability - L’applicazione di un sistema di gestione basato sulla ISO/IEC 27001 implica:
- l’impegno della direzione è fondamentale per orientare tutte le attività verso l’obiettivo della sicurezza dei dati; senza tale sostegno gli investimenti di sicurezza sono destinati a fallire o per lo meno a non raggiungere gli obiettivi prefissi oggetto di investimento da parte della Direzione;
- Il contesto in cui opera un’organizzazione è dinamico e costantemente sollecitato da elementi interni ed esterni; un sistema di gestione delle informazioni orienta a tale approccio in modo decisamente più marcato di quanto non faccia il GDPR, che è meno sensibile a come l’organizzazione tiene conto della componente di evoluzione;
- un piano sulla sicurezza delle informazioni deve basarsi sui processi e sulle persone, con la consapevolezza che un approccio esclusivamente tecnologico non è in grado di offrire una protezione soddisfacente;
- la sicurezza dei dati è minata principalmente da processi non adeguati e personale non consapevole, la ISO/IEC 27001 mette processi e persone al centro dei controlli, e richiede che questi siano visti come un insieme organico e non come una somma di elementi che rischia di diventare ridondante e disfunzionale.
Alla luce di tali elementi si può affermare che tutte le misure che sono richieste da un sistema di gestione della sicurezza delle informazioni sono altrettante misure di accountability.
Tutte le organizzazioni che possono soddisfare i requisiti ed i controlli della ISO/IEC 27001 possono richiedere la certificazione ad un ente accreditato che, a fronte di un regolamento, condurrà un piano di audit finalizzato al rilascio, laddove ve ne siano le condizioni, della certificazione.
La ISO/IEC 27001 e l’art. 32 - L’art. 32 del GDPR “Sicurezza del trattamento “, al paragrafo 2 richiede “…Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
In altri termini richiede che siano applicate le stesse misure che prevede la ISO/IEC 27001 per garantire la riservatezza, integrità e disponibilità dei dati.
Inoltre, l’art. 32 a fronte delle misure tecniche ed organizzative non fornisce indicazioni dettagliate su quali misure mettere in atto (tranne che alcune indicazioni nel paragrafo 1) e come metterle in atto. Peraltro, preziose indicazioni in tal senso possono essere ottenute dall’analisi della ISO/IEC 27002 “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni” la cui ultima versione è stata pubblicata a febbraio 2022.
Il GDPR orienta le aziende a considerare le migliori pratiche e raccomandazioni esistenti, come la ISO/IEC 27001 - per quanto quest’ultima non soddisfi quanto richiesto dall’art. 42 “Certificazione” -, per ridurre al minimo il rischio di violazione dei dati. Inoltre, anche la ISO/IEC 27001 considera sia misure tecniche che organizzative, e non richiede un approccio orientato esclusivamente alla tecnologia.
Differenze principali - Le differenze tra i due framework sono comunque limitate e non sono da considerarsi un ostacolo; quelle principali sono riassunte nella seguente tabella.
In sintesi quindi, come già accennato, gli elementi di differenza non sono molto rilevanti, considerando che le organizzazioni sono vincolate ad applicare il GDPR e quindi a mettere in campo, se del caso, le misure previste, mentre la ISO/IEC 27001 è uno standard volontario. In ogni caso, la presenza dei controlli Ay.18.1.1 e A18.1.4, fornisce ulteriori garanzie del rispetto di tutte le misure richieste dal REG: UE 2016/679.
Il ruolo della Norma ISO/IEC 27701 per colmare le differenze - Dato che la ISO/IEC 27001 è entrata in vigore anni prima del GDPR ed inoltre ha valenza mondiale, essa non è stata concepita per soddisfare le richieste del Regolamento; a questo risponde la ISO/IEC 27701:2019 "Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”. Tale norma specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dei dati personali, basato sulla ISO/IEC 27001, ma che la estende, richiedendo che siano implementati ulteriori requisiti e controlli specifici per la protezione dei dati personali. Tale strumento di fatto colma le differenze evidenziate fornendo, anche attraverso la componente di linea guida (parte integrante nel documento stesso) significative misure a tutela dei dati personali.
Gli elementi in comune - Molti sono comunque gli elementi in comune tra i due framework; in sintesi, i principali:
- approccio basato sul rischio - sia il GDPR che la ISO/IEC 27001 impongono valutazioni d'impatto sulla protezione dei dati, richiedendo di considerare i rischi che incombono sui dati;
- entrambe richiedono che siano definiti vincoli per la raccolta, l’archiviazione, la durata della conservazione, l’accesso e la distruzione dei dati; la ISO/IEC 27001 è però più esplicita e affronti anche il tema dei supporti che contengono dati;
- sia il GDPR che la ISO/IEC 27001 richiedono misure per il personale (quelle della norma sono molto più articolate), nonché per la qualifica e gli accordi con i fornitori incaricati di trattare dati;
- la ISO 27001 ed il GDPR richiedono entrambe la notifica di violazione, per quanto con alcune differenze in merito ai tempi ed ai soggetti a cui comunicare (vincolanti per il GDPR), mentre la norma evidenzia maggiormente che devono essere messe in atto azioni per evitare che gli incidenti si ripetano (azioni correttive - “lessons learned”).
Conclusione - È innegabile che il possesso di un sistema di gestione certificato a fronte della ISO/IEC 27001 si configura come una misura di accountability a tutela dei dati personali e dell’intero patrimonio aziendale. Si può ottenere un ulteriore rafforzamento integrando il sistema con l’applicazione dei requisiti e controlli previsti dalla ISO/IEC 27701. In sintesi quindi l’implementazione di entrambi gli standard aiuterà a soddisfare e dimostrare la conformità ai requisiti del GDPR ed ogni DPO di organizzazioni che presentano, per la natura dei trattamenti, una componente di rischio rilevante, dovrebbe orientarle in tal senso.