giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

4 commenti:

  1. Lo standard ISDP è venduto alla economica cifra di 180€+IVA...ma a parte quello, resto abbastanza basito dall'approccio. L'Italia mi risulta sia stata assieme alla Grecia uno dei paesi che abbia spinto per l'accreditamento 17065 ergo certificazione di prodotto/servizio, anzichè certificazione di sistema, perchè? Mistero...
    Non mi si venga a raccontare la storia della "rava e della fava" (come ho sentito a qualche convegno/congresso) che la ISO 27001 non dava garanzie in merito perchè potrei portare esempi pratici di come aiuti negli adempimenti del Codice Privacy attuale. E comunque al di là dei casi singoli, è esemplificativo che British Standard che normalmente è prodroma di queste tendenze abbia emesso questa norma (che avevo avuto piacere di leggere in stadio DIS) che spiega come "aggiustare" la ISO 27001 per essere conformi al GDPR. La trovo una idea sensata. Purtroppo ci son troppi interessi in ballo (è vero) e sono perfettamente d'accordo con Lei sul punto di vista al di là di qualche piccola inesattezza presente nel post. Aggiungo che mi stride assai il silenzio degli Organismi di Certificazione che potevano alzare un po' di più la voce su un argomento come la 27001, anzichè pensare che potessero nascere altre linee di business...sempre (come sempre) sulla pelle delle aziende.

    RispondiElimina
  2. Intanto grazie.

    Inoltre, se vede inesattezze nel mio blog, me le segnali. Il mio obiettivo è essere il più accurato possibile nelle segnalazioni. Vorrei evitare di essere promotore (come purtroppo in troppi sono) di false informazioni.

    Dopo il suo post ho controllato e mi risulta che ora la certificazione secondo la ISDP è offerta da Inveo (http://www.in-veo.com/en/services/certification/isdp-10003-2014-data-protection). Ma non ho trovato dove si compra.

    Per quanto riguarda il fatto che la certificazione sia sul servizio e non sul sistema di gestione, convengo che si tratta di scelta discutibile, è più un dettaglio, a questo punto. Penso che Accredia voglia aver applicato un meccanismo di certificazione più rigoroso, esattamente come sta facendo con le certificazioni dei servizi fiduciari (Regolamento eIDAS). Un approccio a mio avviso distorto, ma non posso farci molto.

    Anche io convengo che bisognerebbe appoggiarsi alla ISO/IEC 27001, ed è la proposta che farà l’ISO/IEC SC 27. Ma tra qualche anno, a causa dei tempi tecnici. Purtroppo sembra che in Italia troppi “remano contro” la ISO/IEC 27001 e la stessa AgID promuove le misure del NIST (made in USA) e non quelle concordate a livello ISO/IEC. Io penso che siano approcci sbagliati, ma non ho autorità in merito.

    Per quanto riguarda gli OdC, non credo debbano alzare la voce. Loro si adeguano alle regole che hanno. Quelli seri, a mio parere, dovrebbero proprio ignorare questi schemi bizzarri e, anzi, educare i propri clienti a non farsi convincere ad acquistare servizi inutili o un po’ ambigui. La stessa educazione che cerco di promuovere con questo blog e che dovrebbero promuovere quanti “masticano” della materia. E, senza paura, dovremmo dire e ripetere che Accredia ha fatto male a promuovere quello schema senza il coinvolgimento del Garante dei dati personali.

    RispondiElimina
  3. Riccardo Giannetti4 aprile 2018 12:58

    Buongiorno,
    ritengo che la critica sia sempre costruttiva, basandosi però sulle evidenze oggettive. Premesso che stimo e rispetto molto il dr. Gallotti, sia per quanto fa come divulgatore sia per le sue competenze iniziative intelligenti.
    Credo di aver avuto modo già in molte occasioni di spiegare i motivi per cui l'Europa ha adottato la norma ISO/IEC 17065 e sarebbe interessante riproporre il tema in un dibattito pubblico. Io ero lì nel gruppo di lavoro quando anche 'Italia nel semestre di presidenza fece questa scelta. Sui motivi per cui la ISO 27001 non possa essere sufficiente a coprire le esigenze di certificazione del GDPR anche qui si è detto e scritto molto; un elemento su tutti, i principi di cui all'art. 5, architrave de Regolamento, non potrebbero essere "vigilati" dalla ISO 27001. La rosa di norme richiamate dal regolamento, come a voi sicuramente noto, è ampia, andiamo dalla ISO22301, alla ISO25024, ISO28590, ISO 29154, per terminare con la ISO31000. insomma per una norma ISO da sola la coperta è molto corta. Su questo poi può essere utile leggere attentamente quanto il gruppo WP 29 nelle recenti linee guida n. 261 (dove peraltro abbiamo avuto i piacere di portare il nostro modesto quanto silenzioso contributo nella consultazione pubblica).
    Infine avrei piacere che studiaste bene lo schema ISDP10003 (se ritenete possiamo incontrarci e ve ne faccio avere una copia) in particolare la versione 2018, (quella in conformità al GDPR), per aprire un dibattito costruttivo e proficuo anche di confronto al BS 10012, di ci un giorno se avrò il piacere di conoscervi personalmente vi racconterò (circostanziando quando affermato...) la sua genesi furbesca da parte del mondo UK...

    Aggiungo ironicamente, mi auguro che anche il dr. Morandi presti i suoi servizi professionali gratis e così tutti i soggetti nel mondo GDPR, ritenendo il costo dello schema ISDP10003 esagerato.

    In ultimo:

    - ricordo sommessamente al dr. Gallotti, che l'accreditamento non si riesce ad ottenere, mi si ottiene rispettando i requisiti previsti, forse noi li abbiamo rispettati...
    - forse la limpidezza degli OdC a volte non è stato un punto di forza, sicuramente i GDPR li richiama con vigore alle responsabilità (ex art. 83), credo che il silenzio dei più sia proprio qui, il rischio che si corre a certificare; oggi sbagliare per un ente costa...

    - una certificazione come costo sicuramente non è paragonabile ai costi di molti "Consulenti sciacalli" come definiti recentemente nel convegno all'università Roma Tre dal dr. Buttarelli.

    Sempre disponibile al confronto

    con cordialità

    Riccardo Giannetti

    RispondiElimina
  4. Buongiorno,
    intanto la ringrazio per la stima.

    Entrando nel merito, per quanto riguarda la ISO/IEC 17065 ho fatto io un errore: è richiesta dal GDPR e non da Accredia. Se ha qualche link da segnalare in cui ha esposto i motivi di questa scelta, gliene sarei grato. Al momento penso sia un errore, visto che la certificazione dovrebbe riguardare un insieme di trattamenti e non un unico prodotto, servizio o processo.

    La ISO/IEC 27001 certamente non può coprire le esigenze di “certificazione privacy” (non ho mai voluto promuovere l’uso della ISO/IEC 27001 “da sola” per la privacy). Infatti appoggio il lavoro che si sta facendo per estendere questa norma o quantomeno per promuovere una norma ISO o ISO/IEC per la privacy.

    Per quanto riguarda l’accreditamento privacy di Accredia rispetto alla ISDP10003, io non ho nulla da ridire sulla qualità della norma (non ho elementi per giudicarla, né per pensare a priori che sia scadente). I punti per me chiave sono altri:
    - Accredia ha lanciato un accreditamento senza avere l’appoggio di una parte interessata fondamentale; considerando che il GDPR promuove le certificazioni, purché sia coinvolta l’autorità di controllo, questo schema di certificazione senza il coinvolgimento dell’autorità di controllo non doveva essere avviato perché potenzialmente fuorviante rispetto alle domande del mercato;
    - appoggiare uno schema di certificazione i cui requisiti non sono pubblicamente disponibili (gratuitamente o a pagamento) vuol dire generare un ossimoro perché un certificato pubblico senza requisiti pubblici non ha senso (ora la norma è pubblicamente disponibile, ma all’epoca no).

    Su furbizia del BSI, trasparenza di molti OdC, costi vari e sciacallaggi andrei fuori tema. Sugli sciacalli del GDPR dico solo che mi esprimo (prima oralmente e poi per iscritto) da metà del 2012.

    RispondiElimina