Nuova Norma ISO/IEC 27001:2022, alleato della protezione dei dati personali

La recente pubblicazione della ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection — Information security management systems — Requirements, di ottobre 2022, ha completamente rivisto l’impianto dei controlli dello standard.  Già dal titolo della norma si comprende che alla protezione dei dati personali è dato molto rilievo; come si evince anche dai numerosi controlli che in modo diretto o indiretto impattano sulla protezione dei dati personali.

In questo articolo si vogliono approfondire i punti di contatto e le differenze tra lo standard ed il Regolamento UE 2016/679 (GDPR).

I framework della ISO/IEC 27001:2022 - Lo standard sulla sicurezza delle informazioni è strutturato come:

- framework di requisiti, in quanto richiede il soddisfacimento di una serie di requisiti, riportati nei capitoli da 4 a 10 dello standard;

- framework di controllo, in quanto riporta, nell’appendice A i 93, controlli suddivisi in 4 clausole;

 - framework di gestione del rischio, richiede che le organizzazioni, sulla base del contesto, delle esigenze e delle aspettative delle parti interessate, individuino, valutino, e trattino i rischi che impattano sulla riservatezza, disponibilità ed integrità delle informazioni.

In particolare, per la componente dell’analisi del rischio, la ISO/IEC 27001:2022 presenta dei punti in comune con il Regolamento UE 2016/679, che a sua volta richiede un’analisi dei rischi, che deve comunque rispettare il principio dell’accountability, identificare le vulnerabilità e le conseguenti minacce.

Il campo di applicazione e l’ambito geografico - Per la ISO/IEC 27001:2022 il sistema di gestione della sicurezza delle informazioni copre tutti i dati (siano essi riferibili a persone fisiche che giuridiche), trattati nel contesto del campo di applicazione del sistema di gestione come desumibile dal certificato; la localizzazione fisica di tali dati è strettamente connessa al campo di applicazione e potrebbe essere worldwide.

Il GDPR tratta invece esclusivamente dei dati personali, come esplicitano gli artt. 2 e 3, per quanto il GDPR richieda che, in alcune specifiche condizioni, vengano condivise informazioni con terze parti in merito al know how aziendale; l’ambito geografico è limitato all’Unione Europea.

Il riferimento ai trattamenti verbali

Da segnalare che la norma ISO fa riferimento esplicito anche ai trattamenti verbali (vedasi il sotto-controllo in 5.14 “Information transfer control”), mentre il Regolamento UE non cita alcuna modalità di trattamento.

Il riferimento alla normativa sulla protezione dei dati personali - La ISO/IEC 27001:2022 richiede, analogamente alla versione precedente, che vengano applicati dei controlli riguardanti in modo esplicito l’applicazione delle normative cogenti. Il controllo 5.34 “Privacy and protection of personal identifiable information (PII) – Privacy e protezione dei dati personali” è esplicitamente dedicato a questo tema e che “l’organizzazione - il Titolare/Responsabile del trattamento – identifichi e soddisfi la normativa di legge, i regolamenti applicabili ed i requisiti contrattuali relativi alla privacy e alla protezione dei dati personali”.

È importante sottolineare che questo controllo cita non solo la normativa, ma anche i requisiti contrattuali stabiliti con terze parti.

L’obiettivo di questo controllo, come indicato dalla ISO/IEC 27002:2022 è quello di “Garantire la conformità ai requisiti legali, statutari, regolamentari e contrattuali relativi alla sicurezza delle informazioni ed alla protezione dei dati personali”.

La stessa linea guida richiede che l’organizzazione dovrebbe:

- stabilire e comunicare la politica specifica in materia di protezione dei dati personali come parte della politica del proprio sistema di gestione della sicurezza delle informazioni;

- procedere in modo analogo a quanto sopra per quanto riguarda procedure mirate - o come parte del sistema di gestione - sulla protezione dei dati personali, e diffonderle alle parti interessate coinvolte nei trattamenti per la parte di competenza;

Quanto esposto implica la definizione di responsabilità mirate (considerando anche i vincoli normativi e regolamentari), e controlli dedicati; la linea guida suggerisce la nomina di un “privacy officer” che dovrebbe fornire un supporto - al personale, ai fornitori e ad altri soggetti - anche sulla presa in carico delle suddette procedure.

I punti di contatto tra la ISO/IEC 27001:2022 e la protezione dei dati personali

Infine, la linea guida indica una serie documenti pubblicati dalla ISO/IEC come strumenti utili per implementare procedure mirate sulla sicurezza delle informazioni; tra queste:

- ISO/IEC 29100:2011 - Privacy framework

- ISO/IEC 27701:2019 - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management

- ISO/IEC 27018:2019 - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

- ISO/IEC 29134:2023 - Guidelines for privacy impact assessment

I controlli dedicati alla protezione dei dati personali - La maggior parte dei controlli possono essere funzionalmente ed efficacemente applicati alla protezione dei dati personali, e quindi sono da considerare presidi per la protezione della privacy. Alcuni tra questi sono specificamente dedicati al tema. Tra i controlli direttamente impattanti la privacy:

- 5.33 Protection of records – Protezione delle registrazioni

- 8.10 Information deletion

- 8.11 Data masking

- 8.12 Data leakage

Conclusione - Ancora una volta, come ribadito durante il Privacy Day 2023 al CNR di Pisa, la ISO/IEC 27001:2022 è un prezioso alleato per la messa in campo di misure specificamente dedicate alla protezione dei dati personali, considerando anche le indicazioni rese disponibili dalla linea guida ISO/IEC 27002:2022 che possono essere ulteriormente approfondite nella norme/linee guida richiamate.

Articolo di Monica Perego, Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy.