È utile analizzare le analogie tra ISO 27000 e GDPR nel contesto di un’organizzazione che intenda raggiungere la compliance al Regolamento UE mediante la realizzazione di un sistema di gestione del patrimonio informativo aziendale centrato sul corretto trattamento dei dati.
Indice degli argomenti
ISO 27000 e GDPR: i punti di contatto
Dopo oltre un anno dalla prima applicazione del GDPR, infatti, è ormai evidente che un’impresa non può improvvisare il proprio adeguamento ma deve rivolgersi a professionisti del settore, che possano documentare e mettere a disposizione del titolare l’esperienza maturata e, soprattutto, facciano riferimento a schemi predefiniti per impostare il sistema di gestione dei dati personali e della sicurezza delle informazioni.
Sebbene non vi siano obblighi normativi per l’adozione di un sistema di gestione dei dati personali, ma un semplice “incoraggiamento” desumibile dal testo del Regolamento Europeo, in particolare negli articoli 42 e 43 che parlano espressamente dei meccanismi di certificazione, il principio di accountability – che indica sia l’obbligo di individuare compiti e responsabilità, sia quello di essere in grado di rendicontare a posteriori l’attività eseguita – impone all’azienda di procedere su degli schemi predeterminati con operazioni ripetibili o comunque documentabili.
L’adeguamento, pertanto, soprattutto in un’impresa di medie e grandi dimensioni, non consiste nella semplice compilazione di qualche foglio di carta, come spesso accade di accertare a seguito dell’attività svolta da improvvisati esperti del settore, ma comporta:
- l’analisi periodica dell’organizzazione e dei suoi reparti, realtà in continuo mutamento, con l’individuazione dei compiti e delle responsabilità;
- l’analisi dei flussi di dati e dei documenti, per capire come si muovono le informazioni – e quindi quella parte delle informazioni relativa ai dati personali – all’interno dell’azienda;
- la verifica della contrattualistica oltremodo varia e normalmente diffusa tra i vari uffici;
- l’analisi del sistema informatico (o dei sistemi informatici) che gestisce la maggior parte delle informazioni, e delle misure di sicurezza applicate ai vari scenari di rischio;
- l’analisi degli scenari di rischio, per comprendere la probabilità che un determinato evento si verifichi e le capacità di reazione dell’azienda;
Molte realtà hanno adottato programmi di gestione dell’inventario degli asset aziendali e delle misure di sicurezza fisiche, logiche ed organizzative, nonché della documentazione connessa a trattamento dei dati personali, ma si tratta comunque di soluzioni ispirate a modelli di gestione predefiniti, che sarebbe opportuno, da parte dell’organizzazione aziendale, conoscere prima di doverli applicare con tali software.
La diffusa convinzione che la gestione e la sicurezza dei dati siano prodotti e non metodi di controllo e miglioramento continuo, incide purtroppo sulle scelte aziendali che spesso si rivelano in contrasto con quello di cui ci sarebbe davvero bisogno
La formazione dovrebbe precedere l’adeguamento e non esserne una conseguenza, poiché risulta evidente che dirigenti e personale a conoscenza dei problemi da risolvere sono maggiormente in grado di rispondere adeguatamente alle verifiche preliminari, alle gap analisys e di partecipare attivamente all’adeguamento e al miglioramento delle performance.
La ISO 27000, premesso quanto sopra, è il sistema maggiormente idoneo a soddisfare i requisiti richiesti dal Regolamento Europeo, al contrario della ISO 9001 da alcuni proposta come soluzione. Innanzitutto, perché il dato non è un prodotto ma un bene immateriale e quindi non ha senso impostare un sistema di gestione ispirato alla gestione di una filiera produttiva e alla verifica della qualità di quello che viene realizzato da un’azienda, come se fosse un bullone o un tortellino.
In secondo luogo, perché il dato personale fa parte del più ampio genere delle informazioni rilevanti per l’azienda e se, per il GDPR, il dato dev’essere considerato nell’ottica di tutelare l’interessato da eventuali usi illeciti o difformi dalle finalità dichiarate al momento della raccolta, nell’ottica dell’azienda quel dato è un valore di business e quindi deve essere guardato anche in funzione del reddito che produce e dei danni che potrebbe provocare (risarcimenti, sanzioni ecc.).
ISO 27000 e GDPR: uno schema di gestione del trattamento dati
La ISO27000, da entrambi i punti di vista, è il sistema di gestione ideale perché nasce innanzitutto per classificare le informazioni all’interno dell’azienda (e questo si riverbera sulla consapevolezza, da parte del dipendente, che un dato classificato dev’essere conserva to e gestito adeguatamente), per attribuire compiti e responsabilità connesse al trattamento delle informazioni, per analizzare i rischi che gravano sulle informazioni che vengono trattate in azienda rispetto agli scenari che si possono individuare, per stabilire le contromisure da adottare è per strutturare l’azienda per garantire la resilienza, al di là della semplice protezione.
Molte sono le analogie con il GDPR, che nell’articolazione dei precetti normativi delinea uno schema simile, sebbene più semplificato e con molti più risvolti di tipo organizzativo.
Sulle misure di sicurezza la ISO 27001 è ovviamente molto più incisiva e puntuale di altri sistemi e permette un’analisi dei rischi decisamente approfondita. Gli scenari sono perfettamente adattabili al trattamento dei dati personali ed il confronto con la probabilità che l’evento si verifichi, in relazione ad ogni singolo trattamento individuato all’interno dell’organizzazione aziendale, permette di realizzare una mappatura del rischio e delle contromisure molto precisa, e quindi soddisfare al meglio le esigenze di tutela che vengono messe in evidenza dal Regolamento Europeo
Non a caso, dopo diverse proposte di regolamentazione, l’8 agosto 2019 è stata pubblicata l’estensione ISO 27701 che introduce quei controlli necessari a dare riscontro alla parte più giuridica del regolamento, senza dimenticare che un’altra estensione già disciplina la sicurezza del cloud.
Conclusioni
Infine, è indubbio che gli audit periodici siano indispensabili per il miglioramento continuo insito nella natura stessa del sistema di gestione, che garantisce, da un lato, che l’adeguamento non sia interpretato come semplice manuale con allegati da tenere sulla scrivania, per esibirlo alle Autorità in caso di controllo, e che consente, dall’altro, di documentare l’attività svolta ed osservare il rispetto del principio di accountability già citato.
Gli oneri di un meccanismo di certificazione sono ovviamente elevati soprattutto per un’azienda di piccole e medie dimensioni, ma c’è da tenere presente che non necessariamente l’azienda deve sottoporsi a certificazione (può semplicemente adottare lo schema) e, in ogni caso, potrebbe certificare solo quelle unità organizzative che sovrintendono al trattamento delle informazioni da proteggere, siano esse dati personali o dati relativi al business aziendale.
Anche in questo caso è importante affidarsi a persone esperte, che abbiano un lungo e datato curriculum in materia di protezione dei dati, privacy, sicurezza delle informazioni e sistemi di certificazione, e non a chi ha semplicemente fatto collezione di incarichi negli ultimi due anni, annusando l’opportunità di fare affari ed un mercato fiorente, perché le responsabilità del consulente ricadranno comunque sul titolare nel rapporto con l’Autorità Garante.
Sbagliare nella scelta del consulente significa probabilmente anche sbagliare nella realizzazione del sistema di gestione dei dati, sbagliare nell’analisi dei rischi, sbagliare nella predisposizione della documentazione e delle procedure che devono permettere all’azienda di adeguarsi.
Sulla base di questi errori l’azienda sarà valutata negativamente dall’Autorità di controllo ed il titolare sarà chiamato a pagare le sanzioni irrogate. Potrà poi certamente rivalersi sul consulente, ammesso che sia solvibile e che abbia un’assicurazione adeguata ai rischi professionali.
