Sicurezza delle Informazioni ai sensi delle norme ISO e Privacy nelle aziende:
Certificazioni ISO e art. 42 del GDPR
ll GDPR istituisce un nuovo «quadro di conformità» per la protezione dei dati personali che fonda le sue caratteristiche sul principio di “Accountability” (Responsabilizzazione/ Rendicontazione) e “Tutela dei diritti fondamentali della persona”.
L’art. 42 del Reg. UE 2016/679 recita:
Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
La certificazione è volontaria e accessibile tramite una procedura trasparente.
La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.
Il dettato normativo pertanto incoraggia l’adozione di schemi certificabili quali il gruppo delle ISO 27001 e ss. focalizzati sulla governance della sicurezza, integrità e disponibilità dei dati e dei trattamenti dei dati presenti nell’organizzazione ovvero riferiti al businsess. In particolare la normativa ISO/IEC 27701 si pone come candidato ideale per realizzare uno schema di certificazione dei trattamenti di dati personali come previsto dal GDPR al Capo IV sezione 5 – Codici di condotta e certificazioni oltre che in diversi Considerando (98,99,100,167,168).
Pertanto ai sensi del GDPR una certificazione deve agevolare la conformità ai principi fondamentali e alle disposizioni del GDPR e non solo la conformità al sistema di gestione delle Informazioni tout court dell’azienda seppur con richiami al rispetto del GDPR.
Va ricordato inoltre che le linee guida EDPB 1/2018 e l’Annex 2 richiamano una particolare attenzione proprio al momento della progettazione dei nuovi schemi. L’art. 42 è la base giuridica per lo sviluppo di tali norme e, proprio su tale articolo, si devono fondare i presupposti di liceità e correttezza delle verifiche e dei requisiti applicabili.
Di seguito le macroscopiche difficoltà applicative degli schemi certificabili, in evidente contrasto con l’art. 42 ovvero:
- la natura applicativa della norma ISO/IEC 27701, richiede un bagaglio di conoscenze tecniche notevole in quanto la sua applicazione si fonda su una propedeutica certificazione ISO/IEC 27001 con applicazione di controlli della ISO/IEC 27002.
Risulta in evidente contrasto con la necessità di accogliere le istanze delle micro, piccole e medie imprese che, anche dal punto di vista economico, non potrebbero avvicinarsi a tale percorso; - la necessità di impiegare liste di controllo molto più dettagliate ed esaustive nel caso delle certificazioni per la conformità al GDPR.
Tale norma e tutte quelle richiamate, si concentrano sulla protezione e sul perimetro di sicurezza delle “Organizzazioni” nei confronti di eventuali minacce, proteggendo di fatto il “DATO” aziendale inteso come elemento di business.
Il GDPR è focalizzato sulla protezione dei dati personali e sui diritti fondamentali delle persone fisiche.
Un recente esempio è fornito dall’incendio sviluppatosi nel datacenter di un grosso provider: oltre alle altre evidenti manchevolezze, il problema principale è che, nonostante fosse presente una certificazione ISO/IEC 27701, la stessa non ha considerato fattualmente la protezione dei dati delle persone fisiche come elemento prioritario, con conseguente impatto su dati trattati da Ospedali, comuni, aziende.
In buona sostanza se le certificazioni sono un ottimo sistema di governance per organizzare e monitorare processi organizzativi e lavorativi, nonché controllare le performance, altrettanto non può garantirsi rispetto al principio di tutela dei diritti fondamentali delle persone fisiche.
Raffaella Sella
Risk & Privacy Manager – DPO