La ISO/IEC 27701, certificazione GDPR?

  • Luglio 30, 2019
  • GDPR
No Comments

Che cos’è una certificazione GDPR?

Il regolamento europeo prevede all’articolo 42 che:

Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

Il meccanismo della certificazione prevede, per sua stessa natura, che un soggetto terzo ed affidabile verifichi, mediante uno schema di controlli prestabilito, che una data organizzazione rispetta una determinata norma, in questo caso il GDPR.

Lo strumento più logico per attuare un simile meccanismo è, anche in questo caso, la redazione di una nuova norma ISO specifica.

Perché è importante adottare tale meccanismo di certificazione?

Gli scopi dell’istituzione e adozione di un simile meccanismo di certificazione sono sostanzialmente i seguenti:

  • Dimostrare il rispetto della normativa anche in caso di controlli, nonostante l’ottenimento della certificazione non sollevi il titolare del trattamento o il responsabile del trattamento dal rispetto integrale della normativa, una certificazione può comunque risultare un valido sostegno alla compliance della propria organizzazione e lo stesso regolamento annovera tali strumenti tra quelli utilizzabili per dimostrare il rispetto della normativa.
  • Ingenerare fiducia negli interessati con i quali l’organizzazione si interfaccia, come qualsiasi certificazione sarà spendibile nei rapporti commerciali e non quale garanzia del corretto trattamento dei dati personali

La ISO/IEC 27701

E’ stata recentemente pubblicata una nuova norma ISO, conosciuta in fase di redazione come ISO/IEC 27552, dal titolo “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.

La norma si pone inizialmente quale naturale completamento delle già note norme ISO/IEC 27001 e ISO/IEC 27002 prevedendo dei controlli aggiuntivi per le stesse nell’ottica di fornire una certificazione del corretto trattamento dei dati personali.

Se si guarda alla ISO/IEC 27001 la norma aggiunge:

  • L’estensione delle previsioni alla “sicurezza delle informazioni e privacy” i dati personali vengono qui indicati come Personal identifiable information (PII), rispettando di conseguenza la definizione data dal GDPR, secondo il quale i dati non riconducibili ad una persona fisica non sono dati personali.
  • La valutazione della configurabilità, nel caso concreto, di situazioni di titolarità, contitolarità o responsabilità nei confronti dei dati personali.
  • L’inclusione tra i soggetti “interessati” degli interessati previsti del GDPR, cioè di quelle persone fisiche i cui dati vengono trattati dal titolare del trattamento.
  • L’inclusione, tra i controlli da considerare per la Dichiarazione di applicabilità (Statement of applicability o SOA), di quelli proposti dalla stessa ISO/IEC 27552 nelle appendici A (per i titolari) e B (per i responsabili).

Con riferimento alla ISO/IEC 27002 invece la nuova norma prevede l’estensione dei controlli nel caso in cui l’organizzazione valutata possa dirsi titolare o responsabile del trattamento.

Per quanto riguarda i controlli comuni ad entrambe le situazioni di responsabilità o titolarità nel trattamento vengono aggiunte alcune procedure:

  • L’assunzione, tra le politiche interne all’organizzazione di impegni diretti all’adeguamento alla legislazione vigente in materia di privacy;
  • L’individuazione di persone di riferimento per quanto attiene alla privacy (alcuni punti della norma richiamano quanto previsto per la disciplina della figura del DPO per quelle organizzazioni che ne siano dotate, negli altri casi è invece possibile prevedere anche figure distinte per i vari ambiti collegati alla gestione dei dati personali);
  • La classificazione delle categorie di dati personali trattati all’interno dell’organizzazione;
  • Manca un riferimento all’informazione ed istruzione, come previsto dal GDPR;
  • La previsione della conservazione dei log di sistema, e, contemporaneamente, della protezione di tali informazioni in quanto dati personali.
  • tra le misure relative allo sviluppo, di richiami all’importanza della privacy;
  • tra la gestione degli incidenti, la gestione delle violazioni dei dati personali (data breach).

Il titolare del trattamento invece dovrà prevedere:

  • Procedure per l’identificazione delle basi giuridiche sulla scorte delle quali ritenere legittimo e lecito il trattamento;
  • Redazione, tenuta, aggiornamento del registro dei trattamenti;
  • Valutazione della rischiosità del trattamento ed eventuale redazione della DPIA;
  • Stipula di contratti di nomina a responsabile del trattamento con i soggetti esterni che trattino dati personali per conto del titolare stesso;
  • Stesura delle informative sul trattamento dei dati personali;
  • Procedura per la corretta e celere gestione delle richieste di esercizio dei diritti da parte degli interessati;
  • Esame dei trattamenti effettuati e dei dati coinvolti in questo al fine di valutare il rispetto del principio di minimizzazione;
  • Esame dei trattamenti effettuati al fine di stabilirne la corretta durata;
  • Valutazione dei trasferimenti di dati in paesi extra UE e basi di liceità degli stessi.

Il responsabile del trattamento, similmente al titolare, dovrà munirsi di:

  • registro dei trattamenti, tenuta e aggiornamento dello stesso;
  • Stipula dei contratti di nomina con i clienti cui fornisce servizi che comportano il trattamento di dati personali;
  • Stipula dei contratti di nomina con eventuali sub-responsabili;
  • Procedure per la gestione dei diritti degli interessati;
  • Valutazione dei trasferimenti in altri Paesi o organizzazioni internazionali.

 

La nuova norma non va tuttavia intesa come esclusiva estensione della ISO 27001, è possibile infatti richiedere la certificazione direttamente per la ISO 27701.

Tuttavia, non va dimenticato che il GDPR richiedere certificazioni di “servizio” rispetto alla norma ISO/IEC 17065, mentre l’impostazione di questa nuova norma prevederebbe una certificazione come “sistema di gestione” rispetto alla ISO/IEC 17021.

In quest’ottica il gruppo di lavoro responsabile della ISO/IEC 27701 ha aperto una discussione, la soluzione potrebbe essere ritrovata nella previsione di un sistema di gestione certificato ISO/IEC 17021 che stabilisca i controlli necessari a certificare rispetto alla ISO/IEC 17065 i trattamenti che richiedano tale certificazione.

Cosa possiamo offrire a riguardo?

L’esperienza maturata sul campo quali DPO certificati e le conoscenze specifiche, legali e tecniche, dei nostri professionisti, ci consentono ad oggi di effettuare tutti i controlli propedeutici all’ottenimento della certificazione in parola.

Privacy Studio Blog

Siamo un gruppo di professionisti della privacy con un focus nell'aiutare i nostri clienti a trattare consapevolmente e correttamente i dati personali e non solo.

Richiedi un preventivo

Offriamo servizi di consulenza legale e tecnica in ambito privacy, tra i quali:

  • Servizio DPO
  • Adeguamento GDPR
  • Formazione
  • Audit
  • Certificazione Siti/e-commerce
  • Gestione Contenzioso

Iscriviti alla newsletter!

There is no form with title: "SEOWP: MailChimp Subscribe Form – Vertical". Select a new form title if you rename it.

Altri articoli del blog

Vedi tutti

Lascia un commento