NEWS

Ecco perchè la nuova Norma ISO/IEC 27001:2022 è un prezioso alleato della protezione dei dati personali

La recente pubblicazione della ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection — Information security management systems — Requirements, di ottobre 2022, ha completamente rivisto l’impianto dei controlli dello standard.  Già dal titolo della norma si comprende che alla protezione dei dati personali è dato molto rilievo; come si evince anche dai numerosi controlli che in modo diretto o indiretto impattano sulla protezione dei dati personali.

Ing. Monica Perego

(Nella foto: l'Ing. Monica Perego, speaker al Privacy Day Forum 2023)


In questo articolo si vogliono approfondire i punti di contatto e le differenze tra lo standard ed il Regolamento UE 2016/679 (GDPR).

I framework della ISO/IEC 27001:2022 - Lo standard sulla sicurezza delle informazioni è strutturato come:

- framework di requisiti, in quanto richiede il soddisfacimento di una serie di requisiti, riportati nei capitoli da 4 a 10 dello standard;
- framework di controllo, in quanto riporta, nell’appendice A i 93, controlli suddivisi in 4 clausole;
 - framework di gestione del rischio, richiede che le organizzazioni, sulla base del contesto, delle esigenze e delle aspettative delle parti interessate, individuino, valutino, e trattino i rischi che impattano sulla riservatezza, disponibilità ed integrità delle informazioni.

In particolare, per la componente dell’analisi del rischio, la ISO/IEC 27001:2022 presenta dei punti in comune con il Regolamento UE 2016/679, che a sua volta richiede un’analisi dei rischi, che deve comunque rispettare il principio dell’accountability, identificare le vulnerabilità e le conseguenti minacce.

Nel video: lo speech di Monica Perego al Privacy Day Forum 2023. Sotto le slides dell'intervento)

Il campo di applicazione e l’ambito geografico - Per la ISO/IEC 27001:2022 il sistema di gestione della sicurezza delle informazioni copre tutti i dati (siano essi riferibili a persone fisiche che giuridiche), trattati nel contesto del campo di applicazione del sistema di gestione come desumibile dal certificato; la localizzazione fisica di tali dati è strettamente connessa al campo di applicazione e potrebbe essere worldwide.

Il GDPR tratta invece esclusivamente dei dati personali, come esplicitano gli artt. 2 e 3, per quanto il GDPR richieda che, in alcune specifiche condizioni, vengano condivise informazioni con terze parti in merito al know how aziendale; l’ambito geografico è limitato all’Unione Europea.

Infine è da segnalare che la norma ISO fa riferimento esplicito anche ai trattamenti verbali (vedasi il sotto-controllo in 5.14 “Information transfer control), mentre il Regolamento UE non cita alcuna modalità di trattamento.

Il riferimento alla normativa sulla protezione dei dati personali - La ISO/IEC 27001:2022 richiede, analogamente alla versione precedente, che vengano applicati dei controlli riguardanti in modo esplicito l’applicazione delle normative cogenti. Il controllo 5.34 “Privacy and protection of personal identifiable information (PII) – Privacy e protezione dei dati personali” è esplicitamente dedicato a questo tema e che “l’organizzazione - il Titolare/Responsabile del trattamento – identifichi e soddisfi la normativa di legge, i regolamenti applicabili ed i requisiti contrattuali relativi alla privacy e alla protezione dei dati personali”.

È importante sottolineare che questo controllo cita non solo la normativa, ma anche i requisiti contrattuali stabiliti con terze parti.

L’obiettivo di questo controllo, come indicato dalla ISO/IEC 27002:2022 è quello di “Garantire la conformità ai requisiti legali, statutari, regolamentari e contrattuali relativi alla sicurezza delle informazioni ed alla protezione dei dati personali”.

La stessa linea guida richiede che l’organizzazione dovrebbe:

- stabilire e comunicare la politica specifica in materia di protezione dei dati personali come parte della politica del proprio sistema di gestione della sicurezza delle informazioni;
- procedere in modo analogo a quanto sopra per quanto riguarda procedure mirate - o come parte del sistema di gestione - sulla protezione dei dati personali, e diffonderle alle parti interessate coinvolte nei trattamenti per la parte di competenza;

Quanto esposto implica la definizione di responsabilità mirate (considerando anche i vincoli normativi e regolamentari), e controlli dedicati; la linea guida suggerisce la nomina di un “privacy officer” che dovrebbe fornire un supporto - al personale, ai fornitori e ad altri soggetti - anche sulla presa in carico delle suddette procedure.

I punti di contatto tra la ISO/IEC 27001:2022 e la protezione dei dati personali

Infine, la linea guida indica una serie documenti pubblicati dalla ISO/IEC come strumenti utili per implementare procedure mirate sulla sicurezza delle informazioni; tra queste:

- ISO/IEC 29100:2011 - Privacy framework
- ISO/IEC 27701:2019 - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
- ISO/IEC 27018:2019 - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- ISO/IEC 29134:2023 - Guidelines for privacy impact assessment

I controlli dedicati alla protezione dei dati personali - La maggior parte dei controlli possono essere funzionalmente ed efficacemente applicati alla protezione dei dati personali, e quindi sono da considerare presidi per la protezione della privacy. Alcuni tra questi sono specificamente dedicati al tema. Tra i controlli direttamente impattanti la privacy:

- 5.33 Protection of records – Protezione delle registrazioni
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage

Conclusione - Ancora una volta, come ribadito durante il Privacy Day 2023 al CNR di Pisa, la ISO/IEC 27001:2022 è un prezioso alleato per la messa in campo di misure specificamente dedicate alla protezione dei dati personali, considerando anche le indicazioni rese disponibili dalla linea guida ISO/IEC 27002:2022 che possono essere ulteriormente approfondite nella norme/linee guida richiamate.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Intelligenza Artificiale, necessario riflettere sulla natura delle decisioni algoritmiche affinché siano a vantaggio dell’uomo e non gli si ritorcano contro
Next Allarme sociale sull’utilizzo dell’Intelligenza Artificiale: dobbiamo crederci?

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy