Come si sta muovendo il mondo normativo per adempiere all’art. 42 del Reg. UE 679/16?

By | 7 novembre 2017

L’articolo 42 del Regolamento UE 679/16 testualmente dice: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche del micro, piccole e medie imprese”.

Sia il Garante Italiano che i Garanti Europei a tutt’oggi non si sono ancora espressi sull’applicazione di questo particolare articolo anzi il Garante Italiano tende a non dare spazio a iniziative in merito.

Intanto a fine agosto è stata pubblicata la ISO/IEC 29151 dal titolo “Information technology — Security techniques — Code of practice for personally identifiable information protection” ovvero “Tecnologia dell’informazione – Tecniche di sicurezza – Codice di pratica per la protezione delle informazioni personali”

Si tratta di un’estensione dei controlli della ISO/IEC 27002 nota per i controlli da applicare ad un Sistema di Gestione della Sicurezza delle Informazioni certificabile secondo i requisiti della ISO/IEC 27001. Per alcuni dei controlli già previsti dalla ISO/IEC 27002 sono indicate ulteriori indicazioni per l’attuazione in ambito di Data Protection ovvero alle cosiddette informazioni personali. Sono poi riportati controlli aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27002.

In particolare, le linee guida basate su ISO / IEC 27002, tengono conto dei requisiti per l’elaborazione di informazioni personali che possono essere applicabili nel contesto dell’ambiente del rischio informativo di un’organizzazione

Pertanto la ISO / IEC 29151: 2017 definisce obiettivi di controllo, controlli e linee guida per l’implementazione dei controlli, per soddisfare i requisiti identificati da una valutazione del rischio e di impatto connessi alla protezione delle “informazioni personali identificabili” (PII).

Questa norma  potrebbe essere usata dalle organizzazioni già certificate ISO/IEC 27001 per estendere la propria Dichiarazione di applicabilità (o Statement of applicability) e  potrebbe portare a certificazioni ISO/IEC 27001 basate “sui controlli riportati dalle ISO/IEC 27001 e ISO/IEC 29151” quindi ad un approccio sicuramente di Data Protection. La ISO / IEC 29151: 2017 è applicabile a tutti i tipi e dimensioni di organizzazioni che agiscono come Titolari (o controller PII come definiti in ISO / IEC 29100 norma che propone un  framework per la protezione delle informazioni personali identificabili ), comprese le società pubbliche e private, le entità governative e le organizzazioni non profit che trattano dati personali.

Ma non finisce qui, ISO ha in cantiere anche la ISO/IEC 27552, che dovrà estendere  la ISO/IEC 27001 in modo che sia dedicata alla protezione dei dati personali. C’è da dire che i lavori su questa norma sono in stato ancora di “Working draft” e pertanto ci varranno ancora alcuni anni.

 

Nell’attesa che i Garanti si esprimano in merito abbiamo già materiale su cui prepararci per la certificazione del nostro sistema di Data Protection.

Share with...Tweet about this on TwitterShare on LinkedInShare on Google+Share on Facebook
Category: Codici di condotta e certificazione Tag:,

About Andrea Castello

Andrea Castello is a professional working in the Information Systems Domain. He is graduated in Management Engineering. Since 2006 he work as consultant, trainer and auditor with focus in Management System (ISO 9001, ISO/IEC 20000, ISO/IEC 27001), Risk Analysis & Management and Privacy. Lead Auditor ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 Trainer qualified ISO/IEC 27001, ISO/IEC 20000, ISO 22301, ITIL Foundation.

Lascia un commento