ISO IEC 27001

Il Regolamento Privacy

e il certificato ISO 27001

Regolamento Privacy

certificato ISO 27001

Regolamento Privacy e certificato ISO 27001

Il legislatore comunitario, incoraggia meccanismi di certificazione della protezione dei dati che abbiano la potenzialità di dimostrare la conformità alla legge e costituiscano un fattore attenuante in caso di sanzioni.

Questa indicazione ha spinto la ISO ad avviare lo sviluppo della «Iso/Iec 27552 – Enhancement to Iso/Iec 27001 for privacy management»: l’organizzazione punta ad evolvere lo Standard in materia di gestione della sicurezza delle informazioni nello strumento principe per garantire la conformità al Regolamento.
Nel recente passato, alcuni Garanti nazionali hanno ammesso che un certificato ISO 27001 (Standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) possa rappresentare un esempio di best practice: appare verosimile, quindi, che tale tipologia di certificazione sia confermata e inclusa tra quelle “benedette” dalle autorità di vigilanza.
È vero che la norma ISO 27001 non copre direttamente alcuni requisiti previsti dal Regolamento Privacy (come: il diritto ad essere informati; il diritto di far eliminare i propri dati; la portabilità dei dati), ma allo stesso tempo identifica i dati personali come asset di sicurezza informativa e fornisce i mezzi per garantire questa protezione.

I punti più rilevanti su cui lo Standard ISO 27001 può aiutare le Aziende a conformarsi a questo Regolamento sono:

  • Risk Assessment – A causa delle gravi sanzioni definite nel Regolamento UE e del forte impatto finanziario che queste potrebbero avere sulle Organizzazioni, è evidente che la valutazione dei rischi per la loro privacy sia un punto troppo importante per non essere adeguatamente attenzionato. La norma ISO 27001 richiede una valutazione di questo tipo. In particolare, attuando la ISO 27001, i dati personali devono essere valutati e classificati: il controllo A.8.2.1 (Classificazione delle informazioni) dispone che: “Le informazioni devono essere classificate in relazione al loro valore, ai requisiti cogenti e alla criticità in caso di divulgazione o modifica non autorizzate.”
  • Compliance – Applicando la norma ISO 27001, il controllo A.18.1.4 (Privacy e protezione delle informazioni personali di identificazione) richiede che ” Si devono assicurare la privacy e la protezione dei dati personali, come richiesto dalla legislazione e dai regolamenti pertinenti, per quanto applicabile.”.
    A tali fini, diventa imperativo avere un “elenco” dei riferimenti legislativi, normativi, e contrattuali di riferimento: se l’Organizzazione è soggetta al Regolamento Privacy, esso farà parte di questa lista e l’Organizzazione dovrà agire in conformità alle sue disposizioni.
  • Notifica delle violazioni – Il Regolamento prevede che le Aziende dovranno notificare all’Autorità competente (ed in alcuni casi all’interessato) la scoperta di un “data breach”, entro le 72 ore successive. L’implementazione del controllo ISO 27001 A.16.1 (Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti) dovrebbe assicurare “un approccio coerente ed efficace alla gestione degli incidenti in materia di sicurezza informatica, compresa la comunicazione sugli eventi di sicurezza”. La norma impone infatti – nel disporre che debbano essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida ed efficace agli incidenti relativi alla sicurezza delle informazioni – specifica che “Gli eventi relativi alla sicurezza delle informazioni devono essere segnalati il più velocemente possibile attraverso appropriati canali gestionali”.
  • Gestione degli Asset – Il controllo ISO 27001 A.8 (Gestione patrimoniale) impone di identificare gli asset dell’Organizzazione e definire adeguate responsabilità per la loro protezione; di classificare le informazioni affinchè ricevano un adeguato livello di protezione in linea con la loro importanza per l’Organizzazione; di prevenire la divulgazione non autorizzata, la modifica, la rimozione o la distruzione delle informazioni archiviate sui supporti. Tutti esigenze previste anche dal Regolamento Privacy.
  • Privacy by Design – Un altro requisito previsto dal Regolamento UE, diventa obbligatoria nello sviluppo di prodotti e sistemi informativi. Il controllo ISO 27001 A.14 (Acquisizione, sviluppo e manutenzione del sistema) è finalizzato a garantire che “la sicurezza delle informazioni sia parte integrante di tutto il ciclo di vita dei sistemi informativi”.
  • Relazioni con i fornitori – Il controllo ISO 27001 A.15.1 (Sicurezza delle informazioni nelle relazioni con i fornitori) ha come obiettivo “la protezione degli asset dell’organizzazione accessibili da parte dei fornitori “. Anche il GDPR prevede requisiti di sicurezza delle informazioni per mitigare i rischi associati all’accesso agli asset dell’organizzazione da parte dei fornitori, prevedendo che essi debbano essere concordati con i fornitori stessi mediante accordi formali e documentati.

Al di là dei controlli tecnici adottati, della documentazione strutturata, del monitoraggio e del miglioramento continuo, l’attuazione della norma ISO 27001 promuove la cultura e la consapevolezza dell’importanza della sicurezza dei dati. Questo è fondamentale in quanto la protezione dei dati personali non riguarda solo la tecnologia ed i processi, ma anche le persone: i dipendenti in tal modo diventano più consapevoli della normativa ed acquisiscono la capacità di rilevare e segnalare i “data breach”.
In conclusione, pare che lo standard ISO 27001 sia un interessante punto di partenza per assicurare la conformità con il Regolamento Privacy: se l’Organizzazione ha già implementato lo Standard, certamente è almeno a metà strada nel percorso per garantire la protezione dei dati personali e ridurre al minimo il rischio di una sanzione, il cui impatto a livello finanziario e di visibilità potrebbero essere catastrofici per l’Organizzazione.

In estrema sintesi, poiché quasi tutte le Società che operano a livello comunitario dovranno rispettare il Regolamento Privacy e poiché lo Standard ISO 27001 è una norma internazionalmente riconosciuta, potrebbe rivelarsi essere l’opzione migliore per facilitare l’immediata conformità con il GDPR.