La norma ISO/IEC 27701, pubblicata ad agosto 2019, può essere usata per certificare un sistema di gestione, ma non un processo (o una processing activity, ossia un trattamento) rispetto a una norma, come invece richiesto dal GDPR.
Questo nonostante un sistema di gestione comprenda i processi, come previsto dalla definizione fornita dalle stesse norme ISO (set of interrelated or interacting elements of an organization to establish policies and objectives and processes to achieve those objectives).
Durante l’ultimo incontro del comitato che ha elaborato la ISO/IEC 27701 si è preso atto di questo aspetto e si è deciso di procedere nella redazione di specifiche particolari relative alle attività di accreditamento degli organismi con un progetto di estensione della ISO/IEC 27006.
Indice degli argomenti
La norma ISO/IEC 27701
Come anticipato, ad agosto 2019 è stata pubblicata la norma internazionale ISO/IEC 27701 dal titolo “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.
Durante i lavori di stesura della norma molti ritenevano che questa avrebbe potuto essere utilizzata come schema di certificazione ai sensi dell’art. 42 del Regolamento EU 2016/679 (GDPR).
Il GDPR, infatti, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali ai fini della corretta applicazione del Regolamento e della dimostrazione della conformità allo stesso dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Secondo l’articolo 42(5), inoltre, la certificazione deve essere rilasciata in base ai criteri approvati dall’autorità di controllo competente.
L’articolo 43 del GDPR (anche se scritto in modo non molto encomiabile), relativamente agli organismi di certificazione, prevede che questi siano accreditati secondo la norma EN ISO/IEC 17065:2012, ossia la norma che riporta i requisiti per organismi che certificano prodotti, processi e servizi.
La ISO/IEC 27701, estendendo la ISO/IEC 27001, che a sua volta può essere oggetto di audit di certificazione nel rispetto della norma ISO/IEC 27006, è accreditabile secondo la norma ISO/IEC 17021, che riporta i requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione.
Le opzioni possibili
È noto che sono state pubblicate due specifiche proprietarie per le certificazioni della protezione dei dati personali. Queste specifiche sono molto pubblicizzate dalle società che le hanno redatte. Ovviamente una possibile opzione sarebbe quella di promuovere schemi basati su queste specifiche. Ma le autorità di protezione dati (Data protection authority o DPA) non si sono ancora espresse in merito.
Sicuramente questa lentezza dovuta ai tempi necessari a definire procedure e strumenti che tengano conto delle linee guida prodotte dall’EDPB (“Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)” e “Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation”).
Un’altra opzione potrebbe essere quella di un nuovo standard elaborato da un ente di normazione riconosciuto e accreditabile sulla ISO/IEC 17065: tale standard sarebbe certamente molto simile alla ISO/IEC 27701, ma avrebbe un’altra numerazione. Questo richiederebbe tempo (redazione dello standard e predisposizione dello schema di certificazione).
In tempi brevi, inoltre, uno schema di questo genere potrà essere più facilmente avviato a livello nazionale (come peraltro è successo per molte altre norme, oggi riconosciute a livello internazionale, come la ISO/IEC 27001, che ha origine dalla britannica BS 7799) o al massimo europeo e il suo riconoscimento più ampio richiederà tempo, oltre a essere incerto.
Va infine considerato chela certificazione a norma dell’articolo 42 del GDPR presenta la difficoltà determinata dal paragrafo 5 dell’articolo 43 del GDPR: “L’organismo di certificazione […] trasmette all’autorità di controllo competente i motivi del rilascio o della revoca della certificazione richiesta”.
Il timore di sanzioni da parte dell’autorità garante, conseguenti alla trasmissione delle carenze che hanno determinato la revoca del certificato, può sicuramente scoraggiare l’adesione ai meccanismi di certificazione.
Qualche ipotesi per il futuro
Molti ritengono che, se partirà la certificazione ISO/IEC 27701 (e ci sono tutte le condizioni per cui possa partire presto, a livello non solo nazionale), questa prenderà comunque piede tanto da portare in secondo piano eventuali altri meccanismi di certificazione, inclusi quelli approvati in base all’’art. 42 del GDPR, che non possono godere della stessa rilevanza internazionale.
Ci saranno certamente quelli che ribadiranno continuamente che la certificazione ISO/IEC 27701 non è coerente ai requisiti formali dell’articolo 42 del GDPR ma, nella sostanza, si tratterebbe di una certificazione con tutte le garanzie del processo di normazione dell’ISO e che estende la certificazione ISO/IEC 27001 di cui il mercato ha già decretato ampiamente il successo a livello globale.
Solo la certificazione ISO/IEC 27701 può godere infatti della stessa rilevanza internazionale della ISO/IEC 27001, a differenza delle certificazioni proprietarie. Molte organizzazioni, inoltre, adotteranno la ISO/IEC 27701 in quanto è un riferimento autorevole, anche se non direttamente accreditabile secondo quanto richiesto dall’43 del GDPR, per strutturare le proprie misure di protezione dei dati personali.
Altri pensano che, quando le autorità garanti si pronunceranno su uno schema secondo gli articoli 42 e 43 del GDPR, questo offuscherà la ISO/IEC 27701. I tempi sembrano però molto lunghi e il percorso, come si è detto, non è del tutto delineato.
Nel breve termine, il fatto che manchi un riferimento condiviso per le certificazioni a norma del GDPR rimane un problema aperto, dato che anche le iniziative proprietarie necessitano di un avallo delle autorità garanti.
Inoltre, il sistema di accreditamento privilegia sempre le norme degli enti di normazione riconosciuti che, da un lato, garantiscono processi di sviluppo trasparenti e, dall’altro, consentono una corretta competizione degli organismi che offrono servizi di certificazione, a vantaggio del mercato.
Per questo sarà opportuno lavorare ad uno schema di certificazione dei trattamenti dei dati personali che possa essere basato sulla norma di accreditamento ISO/IEC 17065.
Una soluzione da valutare, infine, è la definizione di uno schema che abbia come requisito la certificazione ISO/IEC 27701 integrandola per quanto necessario, in modo da consentire a chi avesse già ottenuto una certificazione su tale norma di poterla riutilizzare ottenendo la nuova certificazione “di integrazione” a un costo ragionevole.
Questa certificazione garantirebbe la piena conformità a quanto chiesto dal GDPR e potrebbe essere conseguita solo ove necessario. Anche se questa certificazione addizionale fosse basata su una norma nazionale o europea non si invaliderebbero il valore e i benefici della certificazione ISO/IEC 27701 già menzionati.
