L’articolo 42 del Regolamento UE 679/16 testualmente dice: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche del micro, piccole e medie imprese”.
Sia il Garante Italiano che i Garanti Europei a tutt’oggi non si sono ancora espressi sull’applicazione di questo particolare articolo anzi il Garante Italiano tende a non dare spazio a iniziative in merito.
Intanto a fine agosto è stata pubblicata la ISO/IEC 29151 dal titolo “Information technology — Security techniques — Code of practice for personally identifiable information protection” ovvero “Tecnologia dell’informazione – Tecniche di sicurezza – Codice di pratica per la protezione delle informazioni personali”
Si tratta di un’estensione dei controlli della ISO/IEC 27002 nota per i controlli da applicare ad un Sistema di Gestione della Sicurezza delle Informazioni certificabile secondo i requisiti della ISO/IEC 27001. Per alcuni dei controlli già previsti dalla ISO/IEC 27002 sono indicate ulteriori indicazioni per l’attuazione in ambito di Data Protection ovvero alle cosiddette informazioni personali. Sono poi riportati controlli aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27002.
In particolare, le linee guida basate su ISO / IEC 27002, tengono conto dei requisiti per l’elaborazione di informazioni personali che possono essere applicabili nel contesto dell’ambiente del rischio informativo di un’organizzazione
Pertanto la ISO / IEC 29151: 2017 definisce obiettivi di controllo, controlli e linee guida per l’implementazione dei controlli, per soddisfare i requisiti identificati da una valutazione del rischio e di impatto connessi alla protezione delle “informazioni personali identificabili” (PII).
Questa norma potrebbe essere usata dalle organizzazioni già certificate ISO/IEC 27001 per estendere la propria Dichiarazione di applicabilità (o Statement of applicability) e potrebbe portare a certificazioni ISO/IEC 27001 basate “sui controlli riportati dalle ISO/IEC 27001 e ISO/IEC 29151” quindi ad un approccio sicuramente di Data Protection. La ISO / IEC 29151: 2017 è applicabile a tutti i tipi e dimensioni di organizzazioni che agiscono come Titolari (o controller PII come definiti in ISO / IEC 29100 norma che propone un framework per la protezione delle informazioni personali identificabili ), comprese le società pubbliche e private, le entità governative e le organizzazioni non profit che trattano dati personali.
Ma non finisce qui, ISO ha in cantiere anche la ISO/IEC 27552, che dovrà estendere la ISO/IEC 27001 in modo che sia dedicata alla protezione dei dati personali. C’è da dire che i lavori su questa norma sono in stato ancora di “Working draft” e pertanto ci varranno ancora alcuni anni.
Nell’attesa che i Garanti si esprimano in merito abbiamo già materiale su cui prepararci per la certificazione del nostro sistema di Data Protection.