ISO 27001 e ISO 27701? Non Conformi per la certificazione secondo il GDPR.

Persistere nell’affermazione per cui una certificazione ISO 27001 o ISO 27701 sia idonea per dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento è assolutamente pericoloso e non corrispondente alla realtà.

E per chi non è un addetto ai lavori, in  particolare, è utile conoscerne le ragioni:

  • Le norme della famiglia ISO 27000 fanno riferimento alla sicurezza delle informazioni mentre
    a) il regolamento Ue fa riferimento alla protezione dei dati personali e
    b) i dati personali e le informazioni non sono sinonimi; i dati ne fanno parte ma sono altro.
    E quand’anche si trattasse di sicurezza delle informazioni sulla privacy, è il caso di ricordare che i concetti di “privacy” e di “dati personali” sono del tutto differenti fra loro. Ecco l’occasione giusta per discernere.
    Ergo ->  sicurezza delle informazioni versus protezione dei dati personali
  • Le suddette norme sono fondate sulla UNI CEI EN ISO/IEC 17021, Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione, mentre
    – ) l’art. 43, paragrafo 1, lett. b) del Reg. UE 679/2016 recita: Gli Stati membri garantiscono che tali organismi di certificazione (OdC) siano accreditati (…) conformemente alla norma EN ISO/IEC 17065/2012 (…).
    Questo significa che un’impresa, o qualsiasi altra organizzazione, se vuole veramente dimostrare che i suoi trattamenti sono conformi al GDPR, deve assicurarsi di:
    a) fare riferimento ad una norma di certificazione di Prodotti, processi e servizi e non di Sistemi di gestione, fondata quindi sulla ISO 17065;
    b) rivolgersi ad Organismi di certificazione accreditati Accredia secondo la norma UNI CEI EN ISO/IEC 17065 e non UNI CEI EN ISO/IEC 17021.
    Ergo: UNI CEI EN ISO/IEC 17021 versus UNI CEI EN ISO/IEC 17065
  • Le suddette norme hanno, come obiettivo, la tutela dell’organizzazione nella gestione delle informazioni, e fra queste, dei dati mentre
    – ) il regolamento ha come obiettivo, la tutela dei diritti e delle libertà delle persone fisiche, ovvero degli interessati, nel trattamento dei loro dati personali.
    Ergo: tutela dell’organizzazione versus tutela degli interessati
  • È impensabile assimilare la certificazione di sistemi in conformità alla ISO 27001, e per estensione alla ISO 27701, ai meccanismi di certificazione ex art. 42 del GDPR
    – ) per il semplice motivo per cui Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati.
    Meccanismi di certificazione, al plurale, lasciando volontariamente la possibilità di certificare molteplici schemi di riferimento del tutto aderenti, però, al dettato ex art. 43 riguardo, in particolare, alle caratteristiche dello standard ed al soddisfacimento dei requisiti da parte degli OdC.
    Ergo: ISO 27701 versus differenti meccanismi di certificazione
  • Leggo, da più parti, che non c’è alternativa al ricorso alla norma ISO 27701 per dimostrare la conformità del sistema di gestione di un’organizzazione ai requisiti del GDPR e che l’ultima parola spetti all’European Data Protection Board che potrà dichiarare valida o meno la certificazione secondo l’estensione ISO/IEC 27701:2019 in quanto questa è l’unica strada da percorrere per mantenere uno dei principi cardine sui cui si basa il GDPR. E invece:
    a) sono molto perplesso sul fatto che l’EDPB si esprima nei suddetti termini se non confermando quanto già stabilito nel regolamento. Inoltre
    b) l’ipotetica, e quanto mai improbabile, adozione della ISO 27701 come norma di riferimento, o accettata, per la certificazione conformemente al GDPR presenterebbe grossi problemi in termini di sigilli e marchi di protezione dei dati in quanto non contemplati dalla ISO 17021 ma dalla ISO 17065
    c) sono a conoscenza di uno schema internazionale per la valutazione della conformità al Regolamento europeo 2016/679 che ha superato tutte le fasi di verifica da parte della Commissione europea: è l’ISDP 10003:2008 disponibile gratuitamente in lingua italiana, inglese e tedesca.
    Ergo: ISO 27701 versus ISDP 10003

Per ulteriori delucidazioni:
https://www.linkedin.com/feed/update/urn:li:activity:6612949169403424768/

E non solo.
Apro una parentesi per dire che so di leggende metropolitane secondo cui è possibile anche la certificazione secondo le prassi 43.1 e 43.2 dell’UNI.
Anche in questo caso, un’eventuale certificazione sarebbe out of scope e impugnabile da chicchessia.

Marcello Colaianni
Qualified ISO 27001 Auditor
Certified DP ISDP 10003 Auditor
Certified DPO e DP Auditor UNI 11697
Compliance & Mgmt Systems Consultant/Auditor