Privacy: dal cosa al come. Lo standard ISO 27701 integra il GDPR, fornendo alle aziende le linee guida per garantire protezione dei dati personali, compliance e riduzione dei rischi
Il tutto è nato dalla possibilità di certificare la bontà di adesione al GDPR attraverso dei meccanismi di cui al momento si stanno ancora definendo le caratteristiche. Qui vorremmo affrontare il tema della gestione dei dati personali secondo l’approccio dato da una delle norme della famiglia ISO 27001, e cioè la ISO 27701 pubblicata ad agosto 2019. La ISO 27701 è una estensione della ISO 27001 ed è stata scritta cogliendo anche le indicazioni della norma ISO 27002 (linea guida in materia di sicurezza delle informazioni). Lo standard 27701 è strutturato secondo la struttura di alto livello (HLS) e definisce cosa deve fare un’organizzazione per trattare al meglio i dati personali che entrano in suo possesso.
Quali sono i dati personali che possono entrare in possesso di un’organizzazione? Sono molteplici e in diverse forme. Sicuramente un’organizzazione detiene i dati dei propri dipendenti e in molti casi raccoglie e gestisce per motivi di business quelli di clienti oppure di utenti al servizio che viene erogato. L’opportunità di avere a disposizione tanti dati personali e poterli usare per sviluppare il proprio mercato è direttamente proporzionale al rischio che l’azienda stessa può correre di perderli oppure di gestirli non per le finalità per le quali i dati personali sono stati forniti dall’interessato.
La norma ci porta ad affrontare proprio questo punto: l’azienda ha veramente colto ed analizzato quali sono le motivazioni, la finalità, le modalità con cui questi dati devono essere raccolti ed infine utilizzati? Questo aspetto non è così banale: sino a qualche tempo fa l’idea di raccogliere più dati personali possibili, in modo da poter avere più informazioni era lo standard. Ora non è più così. Un’organizzazione deve invece minimizzare la quantità di dati personali, limitandoli a quelli strettamente necessari per lo svolgimento delle proprie attività. Un’analisi del rischio in questo caso si rende necessaria per poter comprendere quale strada è necessario perseguire.
A volte si pensa a una norma e relativa certificazione come a un appesantimento burocratico. Non è affatto così: gli standard sono scritti dai migliori esperti del settore che vivono quotidianamente l’azienda, per far beneficiare di determinate tematiche colleghi e imprese. Scorrendo il semplice indice della ISO 27701 troviamo, per esempio, l’attenzione sulla gestione delle risorse umane in fase di assunzione, in fase di passaggio di responsabilità interna e anche in fase di dimissione o uscita dall’azienda – oppure – la gestione degli asset presenti in azienda, o il controllo e le politiche relative agli accessi, e ancora i controlli sulla crittografia, o la gestione della sicurezza di aree fisiche o logiche o ancora la sicurezza delle connessioni.
Come vedete la ISO 27701 definisce tutta una serie di controlli che devono essere messi in campo e che devono essere effettuati per poter garantire la corretta gestione una volta che i dati sono all’interno dell’organizzazione. Per i dati personali, viene richiesto all’azienda di analizzare cosa deve fare nel momento in cui essa è Titolare del trattamento di un dato oppure è Responsabile esterna del trattamento del dato. La certificazione può poi essere il passaggio successivo volto a dimostrare all’esterno l’adozione del sistema. Essendo uno standard ISO, il focus della norma è legato alla sensibilizzazione di chi, all’interno dell’azienda, i dati li gestisce e ne ha a diversi livelli una sua responsabilità. Responsabilizzazione (lo diciamo all’italiana) è un concetto che dovremmo rendere comune nelle nostre organizzazioni, ma che spesso, sebbene gli organigrammi siano pieni di responsabili e di deleghe, rimane chiaro solo sulla carta. Sensibilizzare il proprio personale sull’importanza del ruolo che si ha nella gestione dei dati personali di altri individui è fondamentale.
Le norme come la ISO 27701 promuovono quindi in azienda il valore della cultura del dato, cioè spingere chiunque tratta i dati (personali, in questo caso) a farlo nel modo migliore possibile. Quello che facciamo noi nella nostra azienda per i dati di altri è quello che ci aspettiamo facciano gli altri nei confronti dei nostri dati. È una cosa auspicabile, scontata, ma poi nella realtà siamo sicuri che questo avvenga sempre nelle aziende?
Marco Chesi SQS ITALIA lead auditor – responsabile Norme Sicurezza Informazioni – sqs.it
