La nuova norma “ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”, già attesa dall’anno 2016, è stata finalmente pubblicata nel mese di Agosto 2019.

La lunga pubblicazione è dovuta a due motivi principali: primo che tale norma rientra nel forte argomento delle certificazioni “GDPR” stabilite dall’art. 42 del Reg. UE 2016/679 per la protezione dei dati personali; secondo che la stessa è stata pubblicata dal comitato “Information Security, Cybersecurity and Privacy Protection”, lo stesso che ha pubblicato la norma ISO/IEC 27001 e altre 200 norme tecniche molto importanti a livello internazionali.

La ISO/IEC 27701 è senza dubbio uno strumento sofisticato, ben integrato con il parco normativo internazionale esistente e di potenziale interesse per tutte le organizzazioni dotate di un sistema di gestione per la sicurezza delle informazioni già solo per il fatto che molte di queste tratteranno inevitabilmente dei dati personali interni o di clienti. La sua stessa sofisticazione, d’altro canto, la rende un oggetto utilizzabile correttamente solo da una piccola porzione del mercato proprio per la limitata diffusione dei sistemi di gestione per la sicurezza delle informazioni. Un altro ostacolo in questo senso è costituito dallo schema di accreditamento utilizzato che, oltre ai sistemi di gestione e ai servizi forniti tramite gli stessi, include anche i prodotti.

La nuova norma, numerata ISO/IEC 27701, è impostata come una norma “sector specific” che contestualizza le prescrizioni generali della ISO/IEC 27001 nell’ambito specifico della protezione dei dati personali, prescrivendo determinati requisiti e specifiche linee guida.

Tale implementazione può avere una qualità ambivalente: per le aziende che possiedono già un sistema di gestione per la sicurezza delle informazioni conformi alla ISO/IEC 27001 può essere un approccio più facile e immediato alla nuova norma. D’altra parte però, per le aziende che non sono conformi al sistema, con la nuova pubblicazione, richiedono di implementarlo da ex novo.

Oltre ai medesimi capitoli introduttivi presenti nelle normative ISO, la 27701 presenta i seguenti paragrafi:

• requisiti specifici per il sistema di gestione per la protezione dei dati personali collegati alla ISO/IEC 27001, che permettono di estendere il sistema di gestione dalla sola sicurezza alle informazioni per tutto l’ambito della protezione dei dati personali. Questa sezione determina i requisiti da rispettare per poter dichiarare la conformità alla norma;
• linee guida per il sistema di gestione per la protezione dei dati personali collegate alla ISO/IEC 27002, le quali riportano per ogni controllo le specifiche aggiuntive per l’attuazione del controllo stesso inerenti alla protezione dei dati personali;
• linee guida aggiuntive alla ISO/IEC 27002 per i titolari, riportante i controlli aggiuntivi contestualizzati ad un’applicazione da parte dei titolari del trattamento dei dati;
• linee guida aggiuntive alla ISO/IEC 27002 per i responsabili, riportante i controlli aggiuntivi contestualizzati ad un’applicazione da parte dei responsabili del trattamento dei dati.

Le ultime tre sezioni sopra riportate sono interamente opzionali. Si tratta infatti di aggiunte ai controlli della ISO/IEC 27002 che possono quindi essere o non essere attuati sulla base dei risultati della valutazione e del successivo trattamento del rischio, che in questo caso è assolutamente importante che non sia solo relativo alla sicurezza delle informazioni ma anche alla tutela dei diritti e delle libertà degli interessati.

Utili per implementare il sistema, inoltre, sono le 6 appendici che forniscono degli schemi di riferimento per gli ultimi capitoli della norma da poter seguire per come utilizzare la norma stessa. Infatti, si nota che la norma 27701 non può essere utilizzata in modo indipendente, bensì è necessario utilizzarla insieme alle norme ISO/IEC 27001 e ISO/IEC 27001.

Per maggiori dettagli potete contattare il Vostro consulente di riferimento