Standardizzazione, conformità, certificazione, miglioramento della sicurezza dei dati e della gestione dei rischi. La nuova norma europea EN17799 colma il gap normativo dopo il GDPR
Era da poco entrato in vigore il Regolamento UE 2016/679, colloquialmente noto come GDPR, quando in Italia uscivano due prassi di riferimento di assoluto interesse nel panorama europeo e legate tra loro: 43-1 e 43-2 del 2018 note come “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016”. Mentre la parte 1 “Gestione e monitoraggio dei dati personali in ambito ICT” aveva un carattere informativo accompagnatorio rispetto al Regolamento, la parte 2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”, ispirandosi alla famosa BS 10012, si delineava a differenza di quest’ultima già subito come norma certificabile, dal linguaggio più semplice e naturalmente orientata verso le PMI, soddisfacendo tutti i requisiti indicati negli articoli 42 e 43 del GDPR stesso. A quell’epoca, tuttavia, mancavano ancora dei tasselli importanti per poter mettere pienamente in pratica questi due articoli in quanto non erano ancora definiti né le modalità con cui stabilire i requisiti di accreditamento aggiuntivi delle autorità di controllo né tantomeno erano stati emessi i requisiti stessi.
Una volta definiti questi elementi, tra il 2019 e il 2020, si decise quindi di portare la PdR 43-2 all’attenzione del recentemente costituito CEN JTC 13 WG 5, comitato di normazione europeo che aveva chiaramente nel suo mandato la protezione dei dati personali. Nacque così la prima proposta della norma che oggi risponde al nome di EN 17799, per curiosa coincidenza omocodica rispetto alla prima edizione ISO/IEC di quella che oggi conosciamo come ISO/IEC 27002. Nel passaggio a norma europea, l’impostazione non è cambiata, il titolo si è allineato alla più ampia e moderna dimensione di protezione dei dati personali passando a “Personal data protection requirements for processing operations” mentre il testo è maturato notevolmente, avvicinandosi ovunque possibile al GDPR e aggiungendo importanti informazioni, per esempio sui requisiti applicabili ai titolari e ai responsabili di un trattamento. Il risultato finale è una norma che, a differenza della ISO/IEC 27701, non è un sistema di gestione ma prevede tre fasi primarie di “planning”, “operational activities” e “control”. La EN 17799 rimane una norma nativamente legata allo schema ISO/IEC 17065 e incentrata sui trattamenti, rispettando quindi due requisiti importanti definiti negli articoli 42 e 43 del GDPR.
Come già nella PdR 43-2, la EN 17799 non solo riprende lo stesso GDPR ma vi assomma considerazioni sul governo della tecnologia a suo supporto e diversi elementi di valore aggiunto quali, per esempio, la politica per la protezione dei dati personali, la storicizzazione delle informative, gli audit interni, il reporting periodico rispetto alla direzione, un rimando puntuale ai ruoli definiti anche nella uscente EN 17740 (recepimento europeo della UNI 11697), indicazioni specifiche circa le misure di sicurezza da attuare oltre a pseudonimizzazione e anonimizzazione, la conservazione dei dati, formazione e consapevolezza. Una volta che la norma sarà pubblicata ad aprile sarà già possibile utilizzarla come base per la certificazione (in Italia già possibile rispetto alla PdR 43-2 che dovrà per forza di cose essere ritirata con l’arrivo della norma europea) e si consoliderà certamente una proposta di schema di certificazione completa verso EDPB in modo da chiudere il cerchio rispetto ai requisiti presenti negli articoli 42 e 43 del GDPR, terminando auspicabilmente l’attuale fase iniziale di queste iniziative che ha visto protagonisti alcuni schemi proprietari lontani dal livello di qualità e completezza che offre invece una norma europea come la EN 17799.
di Fabio Guasconi consiglio direttivo CLUSIT