ISO 27701 e la certificazione al GDPR

Con il contributo dell’International Standard Organization (ISO) e del International Electrotechnical Commission (IEC), attraverso il comitato ISO/IEC JTC 1 SC 27 (WG 5), recentemente rinominato “Information Security, Cybersecurity and Privacy Protection” ad agosto 2019 è stata emanata una norma molto importate per quanto riguarda l’implementazione di un Privacy Information Management System (PIMS).

La norma è la ISO/IEC 27701 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.

La nuova ISO/IEC va a contestualizzare le disposizioni della ISO/IEC 27001 nell’ambito della protezione dei dati personali, aggiungendovi sia dei requisiti sia delle linee guida.

La ISO/IEC 27701 è composta dai quattro capitoli introduttivi, cui seguono poi i capitoli principali relativi a:

  • requisiti specifici per il sistema di gestione per la protezione dei dati personali collegati alla ISO/IEC 27001;
  • linee guida per il sistema di gestione per la protezione dei dati personali collegate alla ISO/IEC 27002;
  • linee guida aggiuntive alla ISO/IEC 27002 per i titolari;
  • linee guida aggiuntive alla ISO/IEC 27002 per i responsabili.

La norma aggiunge una serie di requisiti alla ISO/IEC 27001 nel capitolo 5 per allargare il sistema di gestione a quanto inerente alla protezione dei dati personali; per esempio, chiede di considerare chiaramente i trattamenti ed i ruoli in essi legalmente coperti dall’organizzazione e di valutarne i rischi, sia relativamente a disponibilità, integrità e riservatezza delle informazioni, sia nel rispetto dei diritti e delle libertà degli interessati.

Nel capitolo 6 sono riportate delle linee guida aggiuntive inerenti alla protezione dei dati personali per l’attuazione del controllo vero e proprio. Per il controllo relativo alle politiche per la sicurezza delle informazioni, ad esempio, viene consigliato di introdurre, o in una policy esistente o in una dedicata, l’impegno a mantenere la conformità ai requisiti legali e contrattuali in materia di protezione dei dati personali.

Mentre i capitoli 7 e 8 richiamano ai principi della ISO/IEC 29100 come controlli aggiuntivi, che sono contestualizzati per una loro applicazione da parte dei titolari (capitolo 7) e dei responsabili (capitolo 8) del trattamento di dati personali.

Vi sono infine ben 6 appendici che forniscono degli schemi di riferimento per i capitoli 7 e 8 o vanno a mappare la ISO/IEC 29100, il GDPR, la ISO/IEC 27018, la ISO/IEC 29151 e a fornire linee guida su come utilizzare la norma stessa.

Molto probabilmente, ora la ISO/IEC 27701 sarà sottoposta all’EDPB (European Data Protection Board – Comitato Europeo per la protezione dei dati) per valutazione rispetto ad uno schema di certificazione Europeo.