Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.

Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII – Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR.

Struttura della norma

La normativa è strutturata con una parte introduttiva nella quale si ribadiscono obiettivi e campo di applicazione, le altre normative di riferimento, la terminologia. Viene inoltre dettagliata la correlazione con la ISO/IEC 27001 ed ISO/IEC 27002 nella versione 2013. Ciò perché la ISO/IEC 27701 di fatto costituisce un’estensione delle normative appena citate e deve essere applicata in modo congiunto ad esse.

Nella sezione 3 “Terms, definitions and abbreviations” si fa esplicito riferimento alle definizioni di titolare del trattamento (in inglese controller) e di Privacy Information Management System, proprio a sottolineare la focalizzazione del documento sul tema privacy e protezione dei dati personali.

I paragrafi da 5 a 8 riportano le cosiddette “clausole”, cioè i requisiti che devono essere soddisfatti per garantire la conformità alla normativa. In particolare:

Paragrafo (o clausola) 5: fornisce i requisiti sul PIMS e altre informazioni derivanti dalla ISO/IEC 27001 che devono essere adottate da organizzazioni che vogliano configurarsi come Titolare o Responsabile del trattamento. In particolare, ciascun requisito ISO/IEC 27001 viene ulteriormente dettagliato in sotto-clausole specifiche per il PIMS;
Paragrafo (o clausola) 6: fornisce una guida specifica per PIMS e altre informazioni relative ai controlli di sicurezza delle informazioni ISO / IEC 27002 per un’organizzazione che agisca come Titolare o Responsabile del Trattamento;
Paragrafi (o clausole) 7 ed 8: forniscono una guida aggiuntiva, rispetto ad ISO/IEC 27002 rispettivamente per i titolari e per i responsabili del trattamento.
Sono inoltre presenti 6 allegati (in inglese Annex) che riportano sia controlli (cioè misure tecnico/organizzative di mitigazione del rischio privacy), sia riferimenti alle altre normative ISO/IEC vigenti. Nel dettaglio:

Annex A: analogamente alla ISO/IEC 27001 questo allegato riporta i controlli che devono essere implementati in un PIMS da un’organizzazione che si configuri come Titolare del Trattamento (indipendentemente dal fatto che impieghi un Responsabile del Trattamento o che si configuri anche come con-Titolare);
Annex B: riporta i controlli che devono essere implementati in un PIMS da un’organizzazione che si configuri come Responsabile del Trattamento (indipendentemente dal fatto che si avvalga di sub-responsabili);
Annex C: riporta la mappatura rispetto alla normativa ISO/IEC 29100 Information Technology – Privacy Techniques – Privacy Framework;
Annex D: allegato estremamente interessante che riporta il mapping delle clausole ISO/IEC 27701 rispetto agli adempimenti ed ai concetti chiave del GDPR;
Annex E: contiene la mappatura rispetto alle normative ISO/IEC 27018 Information Technology – Security Techniques – Code of Practice for Protection of Personally Identifiable Information (PII) in public clouds acting as PII ed alla ISO/IEC 29151 Information Technology – Security Techniques – Code of Practice for Personally Identifiable Information Protection;
Annex F: descrive ulteriori modalità per applicare la ISO/IEC 27001 ed ISO/IEC 27002 all’ambito privacy laddove vengano trattati dati personali.
Di estremo interesse l’allegato D che riporta nel dettaglio la corrispondenza tra le clausole ISO/IEC 27701 e gli articoli del GDPR. Come già evidenziato nella parte iniziale del presente articolo, questo rappresenta uno strumento potentissimo per l’implementazione del principio di accountability e, allo stesso tempo, uno schema per l’audit e la certificazione dei trattamenti secondo quanto previsto dal Regolamento.

Fonte: cybersecurity360.it