Dalla ISO 27701 gli standard per i sistemi di gestione privacy, ma non per la certificazione sul Gdpr
La ISO 27701, quella che molti definisco la norma per la privacy in azienda è stata pubblicata in agosto. Al momento non risulta nel catalogo delle norme UNI per cui non è adottata a livello nazionale; ma siamo molto confidenti che verrà recepita presto come tutte le norme importanti della famiglia ISO 27001, che ricordiamo è preparata in modo congiunto con il settore “elettrico” (la sua sigla completa è ISO/IEC) e ha quindi validità “erga omnes”. La sua prima analisi ci fa subito capire alcuni aspetti importanti che sintetizziamo di seguito.
La nuova norma è a tutti gli effetti una estensione della ISO 27001, la norma più famosa al mondo per la gestione delle informazioni aziendali (acronimo ISMS): norma contrattuale, applicabile a tutto il sistema informativo con una approccio ai rischi, adatta per dimostrare la conformità alle disposizioni di legge ed ai requisiti del cliente.
La ISO 27001 dovrebbe essere la guida (buona prassi operativa) di ogni progetto sulla sicurezza delle informazioni (con focus su disponibilità, integrità e riservatezza), anche il GDPR dalla ISO 27001 ha tratto molti spunti. Inoltre è una norma con “radici” molto profonde, universalmente riconosciuta anche come grammatica di settore che nasce dai lavori del British Standard (la famosa BS 7799 degli anni ‘90).
La nuova ISO 27701 specifica requisiti aggiuntivi per chi applica un sistema di gestione della sicurezza delle informazioni, è quindi una norma gestionale (acronimo internazionale PIMS) che all’interno del sistema informativo generale si focalizza sui “must” dei sistemi legati ai dati personali, in particolare aggiunge concetti non banali come le libertà, i diritti e le responsabilità (ovviamente con l’approccio pragmatico delle ISO, ossia per tutti i soggetti interessati senza visione ideologica: titolari, responsabili, incaricati e proprietari dei dati).
La nuova norma cita anche la ISO 27002 (buone prassi su specifici argomenti) e soprattutto rimanda anche alla ISO 29100 (vedere i riferimenti normativi e le appendici) che è il vero “framework” per parlare dell’argomento privacy.
La norma ISO 27701 non è allineata naturalmente al GDPR ai fini di una sua eventuale certificazione come presunzione di conformità, infatti il GDPR (in particolare gli articoli 42 e soprattutto 43) vede la certificazione offerta dagli enti “privati” e dal mercato come una certificazione (garanzia magari identificata con un simbolo) di specifiche caratteristiche della protezione, tutela o commercio dei dati personali e non come un “sistema privacy” interno all’azienda, questo è un obbligo di legge (principio della accountability) e le norme tecniche sono già presenti. Quindi il GDPR vede la certificazione come un marchio di qualità specifico e non un sistema come è la ISO 27701.
La ISO 27701 è una norma molto complessa e non adatta alle PMI, solo per dare un dato è oltre 60 pagine che integrano una norma (la ISO 27001) che a sua volta è molto strutturata e che prevede requisiti molto specifici (ricordiamo solo a titolo di esempio i 133 controlli da analizzare e registrare in quello che chiamiamo Statement of Applicability). Le PMI (non critiche per il rischio privacy) devono orientarsi piuttosto verso la ISO 29100, che ha l’obiettivo di definire un manuale operativo.
Ultimo aspetto sulla sua applicazione: la nuova norma, che non ha limitazioni per dimensione o mercato delle organizzazioni, integra la ISO 27001 in particolare sui seguenti aspetti: punto 5 le regole per applicare la ISO 27001 ai dati personali, nei punti 6, 7 e 8 indicazioni per applicare le buone prassi delle ISO 27002 alla privacy (dalla formazione del personale alla crittografia), sono poi presenti alcune appendici fra le quali deve essere citata la "F" che riprende puntualmente il collegamento fra la norma e il GDPR.
Cosa cambia adesso in Italia. Per il momento niente, il nuovo standard internazionale dovrà essere studiato; per questo abbiamo Accredia che è molto attenta all’argomento e con “task force” dedicate che stanno già verificando gli schemi in essere sulla base della nuova ISO 27701; abbiamo UNI che valuterà il recepimento e analizzerà le norme già presenti per verificarne la compatibilità, per esempio delle Prassi di riferimento (PDR) già pubblicate sull’argomento.
(L'intervento di Stefano Bonetto al Privacy Day Forum organizzato da Federprivacy su norme tecniche e opportunità nel settore della privacy)