La ISO/IEC 27701 rappresenta un elemento di novità importante e assoluta in materia di protezione dei dati personali a livello internazionale, permettendo da subito la certificazione
Nel mese di agosto 2019, dopo tre anni di gestazione, è stata finalmente pubblicata una norma molto attesa: “ISO/IEC 27701 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines”. Il comitato che l’ha pubblicata, ISO/IEC JTC 1 SC 27 è lo stesso che ha creato e manutiene la ISO/IEC 27001, la ISO/IEC 15408 e 200 altre norme tecniche rilevanti a livello internazionale.
La nuova ISO/IEC 27701, fino a pochi giorni prima della pubblicazione identificata con il numero 27552, è impostata in modo da contestualizzare le prescrizioni generali della ISO/IEC 27001 nell’ambito specifico della protezione dei dati personali, aggiungendovi sia dei requisiti sia delle linee guida. Questo approccio da una parte rende più facile l’adozione della ISO/IEC 27701 laddove già esiste un sistema di gestione per la sicurezza delle informazioni conforme alla ISO/IEC 27001 e di estenderne l’eventuale certificazione, mentre dall’altro richiede lo sforzo di implementare ex novo tale sistema qualora non sia già esistente.
La norma, tolti i primi capitoli introduttivi, è articolata in quattro capitoli principali. Il capitolo 5 chiarisce i requisiti specifici per il sistema di gestione per la protezione dei dati personali collegati alla ISO/IEC 27001. Il capitolo 6 definisce le linee guida per il sistema di gestione per la protezione dei dati personali collegate alla ISO/IEC 27002. Mentre i capitoli 7 e 8 precisano le linee guida aggiuntive rispettivamente per i titolari e i responsabili. Inoltre nel capitolo 5, si aggiungono una serie di requisiti alla ISO/IEC 27001 per estendere il sistema di gestione dalla sola sicurezza delle informazioni a tutto l’ambito della protezione dei dati personali. Questa sezione è l’unica che specifica requisiti quindi l’unica da rispettare in ogni caso per poter dichiarare la conformità alla ISO/IEC 27701. Nel capitolo 6, sono invece riportate, per ogni controllo della ISO/IEC 27002, delle linee guida aggiuntive per l’attuazione del controllo stesso inerenti alla protezione dei dati personali. Vale la pena di segnalare che non tutti i controlli godono di questa estensione.
I capitoli 7 e 8, invece, riportano i principi enunciati all’interno della ISO/IEC 29100 come controlli aggiuntivi contestualizzati a un’applicazione da parte dei titolari (capitolo 7) e dei responsabili (capitolo 8) del trattamento di dati personali. L’impiego dei contenuti dei capitoli 6, 7 e 8 è – come si evince dai loro titoli – interamente opzionale. Si tratta infatti di aggiunte ai controlli della ISO/IEC 27002 che possono quindi essere o non essere attuati sulla base dei risultati della valutazione e del successivo trattamento del rischio, che in questo caso è assolutamente importante che non sia solo relativo alla sicurezza delle informazioni ma anche alla tutela dei diritti e delle libertà degli interessati.
Vi sono infine ben sei appendici che forniscono dei comodi schemi di riferimento per i capitoli 7 e 8 o vanno a mappare la ISO/IEC 29100, il GDPR, la ISO/IEC 27018, la ISO/IEC 29151 e a dare delle linee guida su come utilizzare la norma stessa. La ISO/IEC 27701 è senza dubbio uno strumento sofisticato, ben integrato con il parco normativo internazionale esistente e di potenziale interesse per tutte le organizzazioni dotate di un sistema di gestione, per la sicurezza delle informazioni o di altro tipo. La sua stessa sofisticazione, d’altro canto, la rende un oggetto utilizzabile correttamente solo da una piccola porzione del mercato, potenzialmente interessato da una certificazione secondo l’articolo 42 del GDPR. Ad ogni modo, questa norma sarà certamente uno dei principali oggetti sul mercato della protezione dei dati personali negli anni a venire.
Fabio Guasconi presidente del comitato italiano mirror di ISO/IEC JTC SC 27 in UNINFO e membro del direttivo CLUSIT