Lo standard di certificazione per la privacy ISO 27701

Sono molteplici le richieste che ci vengono fatte in ambito di sicurezza e privacy dei dati GDPR, c’è però molta confusione tra gli standard di certificazione Iso 27001 e Iso 27701.

Nel 2018 è entrato in vigore il regolamento UE 679/16 General Data Protection Regulation, GDPR, che ha richiesto a tutte le organizzazioni di riconsiderare il concetto di privacy dei dati dei propri clienti, collaboratori, dipendenti e fornitori.

L’ambito obbligatorio non è stato ben compreso in quanto, come sempre, molte realtà si sono gettate nella classica consulenza delle paure e del prendi soldi e scappa.

Documentazione piena zeppa di articoli e contro articoli. Chi lavora in azienda sa molto bene quanto tutto ciò sia inutile.

Veri e propri saggi dove però è completamente assente la valutazione del rischio. Concetto cardine del regolamento che tende ad uniformare la privacy tra i paesi membri. Finendo con applicare i requisiti richiesti ad un big data ad un parrucchiere. Questa Italia…

Un’altra criticità deriva anche che non vi fossero delle norme di sistema in aiuto alla compliance sulla privacy e non sui dati aziendali. Ovviamente non sono la stessa cosa. Il regolamento punta molto alla privacy della persona. Il dato proprietà dell’essere.

Non è quindi un dato industriale, e o di informazione in genere. Sta di fatto che le organizzazioni che avevano implementato un sistema per la sicurezza dei dati e delle informazioni, Iso 27001, non erano certi della conformità rispetto al GDPR.

Iso 27001 e Iso 27701 nello specifico

La norma per la certificazione del sistema sicurezza dati ed informazione Iso 27001 definisce i requisiti di sicurezza che devono essere applicati dopo una valutazione dei rischi.standard di certificazione per la privacy ISO 27701

Azioni implementate per la protezione dei dati e delle informazioni. Ma che non assicurano la conformità al GDPR come è in grado invece la norma Iso 27701. Che si concentra non solo sulle metodiche di protezione.

Ma ha un focus centrale sulla proprietà del dato della persona e della sua possibilità di accettare e o negare il trattamento e o revocarlo.

La norma di certificazione per la privacy Iso 27701 quindi amplia l’alto standard della sicurezza delle informazioni nelle organizzazioni che la implementano anche con tutti i requisiti obbligatori del GDPR.

Vantaggi di un sistema integrato Iso 27001 e Iso 27701

I vantaggi associati all’implementazione di un sistema per la gestione delle informazioni sulla privacy secondo la norma Iso 27701 sono significativi. Ovviamente le organizzazioni gia con un sistema Iso 27001 saranno facilitate.

Grazie alla norma di certificazione Iso 27001 si avrà una struttura in grado di identificare la legislazione sulla sicurezza delle informazioni applicabile alle sue attività, prodotti, servizi e rischi ben identificati.

Con l’integrazione della norma Iso 27701 si riuscirà ad ottenere anche la compliance con i requisiti obbligatori specifici richiesti dal GDPR.  I vantaggi possono essere riassunti:

  • Adottare delle valutazioni che siano in grado di gestire proattivamente i pericoli sulle informazioni e sui dati personali;
  • Prevenire sia le perdite di dati sia il rischio che i dati personali possano essere oggetto di infrazioni;
  • Avere una squadra di lavoro che abbia la capacità di monitorare e gestire prontamente i pericoli che possono aggredire dati ed informazioni;
  • Comunicare al mercato di essere un’organizzazione che abbia un’alta capacità di gestire le informazioni personali definire dal GDPR;
  • Aumentare la fiducia e la reputazione della propria organizzazione sul mercato;
  • Ridurre i carichi di lavoro della gestione ed innescare un processo per il miglioramento continuo su questo requisito;
  • Prevenire gravi sanzioni a carico dell’azienda e dimostrarsi in compliance anche nei casi ove si debba dimostrare durante un procedimento legale la propria conformità.

La gestione sistemica del dato personale

I dati personali sono informazioni riguardanti un individuo  e o il suo identificativo. Che possono comprendere nome, cognome, indirizzi, e mail, documenti di identità, foto, localizzazioni, indirizzi IP, cookie di navigazione, dati medici e giudiziari.

In tutte le organizzazioni ci saranno delle attività che interessano i dati di cui sopra. Fasi di processo atte all’elaborazione, raccolta, monitoraggio, distribuzione, studio. Come per esempio i dati dei dipendenti o interessati dalle fasi commerciali.

Pensate quanto potrebbe essere importante l’implementazione del sistema di gestione sicurezza delle informazioni assieme alla norma Iso 27701 per i dati inerenti la privacy il un’organizzazione che si occupa di servizi di hosting, o di formazione online ecc.

Un cambio di passo un’opportunità di essere conformi ai requisiti del GDPR sfruttando tecnicamente e commercialmente lo standard di certificazione Iso 27701.

CONTATTACI!! Se sei interessato ad implementare nella tua organizzazione lo standard per la certificazione Iso 27701 sui requisiti conformi al GDPR.

Differenze Titolare Trattamento Dati e Responsabile

Il titolare trattamento dati è una delle novità introdotte dal GDPR. Le normative che definiscono i requisiti per il mondo dei dati e della loro protezione hanno avuto un’evoluzione negli ultimi anni con l’entrata in vigore del GDPR.

Il General Data Protection Regulation richiede l’effettuazione da parte dell’organizzazione di una valutazione dei rischi specifica d’impatto, la messa in atto di azioni preventive, di mitigazione e per la gestione delle criticità, ed una più chiara definizione tra la figura del titolare e del responsabile al trattamento dei dati che spesso viene confusa anche se vi sono importanti differenze.

Il regolamento di applica ad ogni tipologia di organizzazione che tratti, archivi, gestisca o lavori, con qualsiasi tipologia di dato personale.

Nell’era odierna le informazioni ed il loro accesso sono tra le risorse più preziose, i grandi possessori di queste informazioni, dati, riescono, infatti, commercialmente e o socialmente ad influenzare grandi masse di persone.

È quindi fondamentale che le organizzazioni e soprattutto le persone siano tutelate dall’uso indiscriminato, talvolta illecito, dei loro dati che per talune realtà risultano essere grandi fonti di guadagno.

Differenze tra titolare e responsabile del trattamento dati nel GDPR

A questo scopo assieme ai requisiti obbligatori sulla privacy, grazie al Reg CE 679/16, si è affiancata anche la necessità di gestire sistematicamente i dati e le informazioni, andando ben oltre ai principi della privacy sui dati sull’individuo, in risposta ai, sempre più frequenti, atti di cyberterrorismo a livello internazionale.

La risposta a queste necessità di cybersicurezza è la recente revisione della norma di certificazione Iso 27001, lo standard internazionale che fornisce le linee guida per l’implementazione, la gestione ed il miglioramento continuo di un Sistema di gestione per la sicurezza dati e delle informazioni.

Il Titolare trattamento dati

Prima di evidenziare quelle che sono le differenze tra il titolare trattamento dati ed il responsabile vediamone ne definizioni. L’articolo 4 del GDPR al punto 7 definisce:

  • Titolare trattamento dati: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Il titolare del trattamento dati è l’entità che potrà essere una persona o un’organizzazione che ha la responsabilità finale per la protezione dei dati, che definisce le modalità, e l’attuazione, in base ai requisiti, di trattamento e protezione dati.  Le responsabilità del titolare per il trattamento dei dati si riassumono in:

  • L’effettuazione, dove necessario coadiuvato dalla figura del DPO, della valutazione di impatto;
  • La definizione delle risorse necessarie per le azioni a tutela della protezione e gestione dei dati;
  • L’invio e la raccolta del consenso al trattamento delle parti interessate;
  • Effettua la revoca delle richieste degli interessati;
  • Definisce l’accesso alle informazioni per le parti interessate;
  • Ha la responsabilità di tutto il processo.

Il responsabile del trattamento dati è quasi sempre ritenuto responsabile di violazioni o accessi non autorizzati e perdite dei dati. L’articolo 26 del GDPR definisce e contempla anche la possibilità che, per le organizzazioni complesse, vi siano più titolari del trattamento o contitolari.

Chi è il Responsabile del trattamento dei dati?

Vediamo chi è adesso, così poi da analizzarne le differenze con il titolare, chi è la figura del responsabile del trattamento dati. L’articolo 4 del GDPR al punto 8 definisce:

  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Questa è una delle differenze importanti rispetto alle normative precedenti, infatti con il GDPR sono state ampliate le responsabilità nei confronti del responsabile del trattamento dei dati. L’articolo 28 del GDPR stabilisce:

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Ovvero il titolare del trattamento dati, responsabile ultimo, dovrà definire le competenze necessarie per l’assunzione dell’incarico del responsabile del trattamento.

Queste competenze, per essere conformi al regolamento, potranno comprendere esperienza, corsi specifici, per la mansione anche da DPO, e o per i prestatori di servizio esterni, audit di qualifica presso stessi e o la richiesta di certificazioni come la norma Iso 27001 o la Unidpr 43.

La presa di incarico della mansione del responsabile al trattamento dei dati deve essere effettuata tramite una nomina ed una descrizione dettagliata.

Il ruolo del o dei responsabili dovrà mantenere una certa indipendenza, infatti queste figure dovranno avere un comportamento attivo nei confronti del titolare per il trattamento dei dati, consigliandolo e prodigandosi affinché vengono raggiunti tutti gli obbiettivi della protezione dei dati.

Differenze tra Titolare e Responsabile

Le differenze sostanziali tra il titolare trattamento dati ed il responsabile sono molto chiare. Il titolare del trattamento è in una certa sorta il capo, ed è colui che ha la piena responsabilità, anche giuridica, dei dati, dalla raccolta, all’archiviazione, gestione fino alla possibile perdita.

Il responsabile o i responsabili del trattamento sono quelle figure ed entità che effettueranno i vari servizi concordati conformi alle procedure per la prevenzione e mitigazione della protezione e perdita dei dati, scaturiti dalla valutazione di impatto ed al GDPR.

Differenza tra protezione e privacy dei dati

Quando parliamo di protezione dei dati e privacy, spesso vengono considerati come il medesimo concetto ma non è così.

La principale differenza tra protezione dei dati e privacy dei dati è rappresentata dal contesto a cui si applicano. Con il termine di protezione dei dati ci riferiamo ad aspetti basati sulla sicurezza informatica per la protezione dei dati inerente a possibili attacchi nei confronti di figure non autorizzate a tale accesso.

Per la privacy dei dati  invece si fa riferimento all’acceso consentito così come definito dal GDPR sugli individui.

CONTATTACI!! Se voi approfondire le tematiche sulla regolamento GDPR sulla privacy e sulle differenze che ci sono tra il responsabile ed il titolare al trattamento dati, o se devi implementare un sistema di gestione per la sicurezza dati ed informazioni secondo la norma di certificazione Iso 27001.

La Valutazione dei Rischi Aziendali

Il processo della valutazione ed analisi dei rischi aziendali è l’analisi dei possibili pericoli, della loro gravità e probabilità di accadimento, in tutte le fasi aziendali necessarie ad attuare azioni di mitigazione.

Secondo i processi, prodotti o servizi erogati dall’organizzazione. A seguito della valutazione, verranno definite la azioni di mitigazione ai rischi riscontrati, che l’organizzazione dovrà mettere in atto per eliminare o mitigare ad un livello accettabile.

L’analisi e valutazione dei rischi, può essere applicata a vari criteri, che possono essere requisiti obbligatori,  volontari richiesti dalle norme e standard di certificazione, contrattuali o di processo.

Saper analizzare e valutare un rischio è un prerequisito fondamentale per ogni attività, così come avere le risorse necessarie e la competenza per attribuirgli delle azioni di mitigazione per i rischi riscontrati efficace. Non a caso, le più importanti norme di certificazione internazionale si basano sui concetti del Risk Based Thinking.

Nell’era odierna esistono molteplici strumenti utili per effettuare una valutazione dei rischi. Tuttavia, per saper valutare un rischio, non si deve solamente saper conoscere il funzionamento di tali software. Si deve essere competenti nelle materie per le quali dobbiamo effettuare la valutazione:

Gli Strumenti per la Valutazione del Rischio

Come abbiamo visto, saper valutare un rischio è una delle fasi più importanti su cui basare una strategia aziendale di prevenzione e mitigazione rispetto a dei rischi ed ad un pericolo possibile ed applicabile.

Un altro aspetto da non sottovalutare nella valutazione è la conoscenza dei principi del Risk Management riportati nella norma che ne detta le linee guida ISO 31000:

La valutazione dei rischi saper valutare un rischio

  • Rischi per la Salute e Sicurezza sul Lavoro – Sono rischi che possono essere impattanti sulla salute e sulla sicurezza dei luoghi di lavoro. Lo scopo è la prevenzione di infortuni e malattie professionali;
  • Rischi per la Sicurezza Alimentare – Inerenti ai rischi per la sicurezza alimentare in ambito europeo che prende il nome di HACCP o il sistema americano HARPC. Lo scopo è l’analisi e la valutazione dei rischi sulla frode o sulla difesa dei prodotti;
  • Rischi Ambientali – Inerenti ai rischi relativi agli impatti ambientali dell’azienda;
  • Rischi sulla Protezione dei dati – Inerenti ai rischi sulla gestione della privacy e della sicurezza dei dati e delle informazioni;
  • Rischi ed opportunità – È l’analisi dei rischi utilizzata dalle norme internazionali di certificazione. Si basa sull’evidenziare quali siano gli aspetti critici per il non raggiungimento degli obbiettivi e individuare le opportunità di miglioramento;
  • Rischi aziendali in genere – Si tratta dell’analisi dei rischi aziendali che possono essere effettuati con strumenti che analizzano i punti di forza e di debolezza per intervenire in maniera più efficace.

I Passi da Seguire per la Valutazione dei Rischi e Definizione delle Azioni di Mitigazione

Il processo per la valutazione ed analisi dei rischi può essere applicato come abbiamo visto a molti criteri. Per effettuarla efficacemente dobbiamo prima definire bene i seguenti concetti:

  • Rischio: fa riferimento alla pericolosità di un evento. È determinato dal prodotto tra P (probabilità dell’evento) e G (gravità), secondo la seguente formula: R = PxG
  • Probabilità (P): si intende la probabilità che l’evento indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione. In genere viene distinta in 3-4 classi.
  • Gravità (G): detta anche magnitudo (M), è intesa come la gravità delle conseguenze dell’evento indesiderato. In genere viene distinta in 3-4 classi.
  • Pericolo, sorgente di rischio: si intende l’entità o l’evento in grado di provocare i danni.
    Per ogni possibile rischio, dovranno quindi essere identificati la probabilità che accadano e la gravità o il danno dell’avvenimento in merito all’aspetto per il quale stiamo effettuando un’analisi del rischio. La seguente tabella è un esempio applicativo di “Matrice del Rischio” risultante dalla combinazione di tre classi di probabilità e tre di gravità.
1 Poco Probabile2 Probabile3 Molto Probabile
1 Poco ImpattanteIRRILEVANTETOLLERABILEMODERATO
2 Moderatamente ImpattanteTOLLERABILEMODERATOEFFETTIVO
3 Molto ImpattanteMODERATOEFFETTIVOINTOLLERABILE

La valutazione del rischio prosegue con l’associazione alle 5 classi di un rischio con l’azione da definire associata alle risultanti della matrice:

  • Irrilevante (B): nessuna azione e documentazione è richiesta, perché non sussiste nessun rischio rilevante.
  • Tollerabile (B): non sono richieste ulteriori azioni di controllo, in quanto il rischio non risulta impattante. Si possono, tuttavia, cercare miglioramenti che non comportino l’impiego di risorse significative. Il monitoraggio è richiesto per garantire che i controlli siano mantenuti.
  • Moderato (M): degli sforzi devono essere fatti per ridurre il rischio valutando nel contempo i costi della prevenzione. Le misure per ridurre il rischio dovrebbero essere effettuate in un tempo determinato. Dove il rischio moderato è associato a conseguenze estremamente dannose, un’ulteriore stima è richiesta per stabilire più precisamente la probabilità di accadimento. Tale stima verrà utilizzata come base per fissare le necessarie azioni di controllo da intraprendere.
  • Effettivo (A): il lavoro non dovrebbe essere svolto finché il rischio non è stato ridotto. Devono essere impegnate con urgenza le risorse necessarie al fine di ridurre il rischio.
  • Intollerabile (A): il lavoro non deve essere svolto finché il rischio non è stato ridotto. Se non è possibile ridurre il rischio anche con l’impiego di risorse elevate, il lavoro deve essere proibito.

L’azienda a questo punto dovrà mettere in atto una serie di azioni di mitigazione dei rischi e monitoraggi, che possono essere comprendere, formazione delle risorse, utilizzo di specifiche attrezzature, strumentazioni, implementazione di procedure di abbattimento e monitoraggio ed altri.

Ogni rischio dovrebbe avere correlato un obbiettivo ed indicatori, volti alla verifica dell’abbattimento del rischio ed al miglioramento delle sue performance.

Oltre al Saper Valutare un Rischio

È chiaro che saper valutare un rischio aziendale oggi giorno non basta. È un’importante pre-requisito, ma le organizzazioni sono un entità in movimento e come tale i loro rischi. Consigliamo quindi di imparare a gestire i rischi con dei sistemi di gestione  al fine di avere uno strumento snello e pro attivo, capace di mettere ordine a tutti i requisiti applicabili e rispondere alle criticità.

CONTATTACI!! Contatta i nostri consulenti se vuoi approfondire le tematiche, se hai esigenza di effettuare un processo per la valutazione dei rischi o se vuoi partecipare ad un corso pratico per imparare a valutare un rischio e individuare le opportunità da cogliere ad esso correlate.