giovedì 4 maggio 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle certificazioni aziendali. Su quelle del DPO ho già parlato (male) in precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di certificazione che è riuscito a farsi accreditare da Accredia un servizio di certificazione privacy, sulla base di una norma ISDP© 10003:2015, non pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa norma e gli hanno detto che la forniscono solo ai loro partner e clienti; già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o dal comitato dei Garanti" (ho alterato per semplificare il testo dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti "criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri. Mi risulta anche che il Garante si stia confrontando con le altre autorità garanti europee proprio per stabilire come approvare e promuovere i "criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS Q 15001:2006 dal titolo "Personal information protection management systems - Requirements", impostata in modo decisamente diverso (anche perché l'HLS è successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

PS: Franco Ferrari (che ringrazio) mi ha segnalato la pagina del Garante in cui è indicato "per quanto concerne gli schemi di certificazione occorrerà attendere anche l'intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo "Articolo 29" sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi":
http://www.garanteprivacy.it/titolare-responsabile-incaricato-del-trattamento.

2 commenti:

  1. Lo standard ISDP è venduto alla economica cifra di 180€+IVA...ma a parte quello, resto abbastanza basito dall'approccio. L'Italia mi risulta sia stata assieme alla Grecia uno dei paesi che abbia spinto per l'accreditamento 17065 ergo certificazione di prodotto/servizio, anzichè certificazione di sistema, perchè? Mistero...
    Non mi si venga a raccontare la storia della "rava e della fava" (come ho sentito a qualche convegno/congresso) che la ISO 27001 non dava garanzie in merito perchè potrei portare esempi pratici di come aiuti negli adempimenti del Codice Privacy attuale. E comunque al di là dei casi singoli, è esemplificativo che British Standard che normalmente è prodroma di queste tendenze abbia emesso questa norma (che avevo avuto piacere di leggere in stadio DIS) che spiega come "aggiustare" la ISO 27001 per essere conformi al GDPR. La trovo una idea sensata. Purtroppo ci son troppi interessi in ballo (è vero) e sono perfettamente d'accordo con Lei sul punto di vista al di là di qualche piccola inesattezza presente nel post. Aggiungo che mi stride assai il silenzio degli Organismi di Certificazione che potevano alzare un po' di più la voce su un argomento come la 27001, anzichè pensare che potessero nascere altre linee di business...sempre (come sempre) sulla pelle delle aziende.

    RispondiElimina
  2. Intanto grazie.

    Inoltre, se vede inesattezze nel mio blog, me le segnali. Il mio obiettivo è essere il più accurato possibile nelle segnalazioni. Vorrei evitare di essere promotore (come purtroppo in troppi sono) di false informazioni.

    Dopo il suo post ho controllato e mi risulta che ora la certificazione secondo la ISDP è offerta da Inveo (http://www.in-veo.com/en/services/certification/isdp-10003-2014-data-protection). Ma non ho trovato dove si compra.

    Per quanto riguarda il fatto che la certificazione sia sul servizio e non sul sistema di gestione, convengo che si tratta di scelta discutibile, è più un dettaglio, a questo punto. Penso che Accredia voglia aver applicato un meccanismo di certificazione più rigoroso, esattamente come sta facendo con le certificazioni dei servizi fiduciari (Regolamento eIDAS). Un approccio a mio avviso distorto, ma non posso farci molto.

    Anche io convengo che bisognerebbe appoggiarsi alla ISO/IEC 27001, ed è la proposta che farà l’ISO/IEC SC 27. Ma tra qualche anno, a causa dei tempi tecnici. Purtroppo sembra che in Italia troppi “remano contro” la ISO/IEC 27001 e la stessa AgID promuove le misure del NIST (made in USA) e non quelle concordate a livello ISO/IEC. Io penso che siano approcci sbagliati, ma non ho autorità in merito.

    Per quanto riguarda gli OdC, non credo debbano alzare la voce. Loro si adeguano alle regole che hanno. Quelli seri, a mio parere, dovrebbero proprio ignorare questi schemi bizzarri e, anzi, educare i propri clienti a non farsi convincere ad acquistare servizi inutili o un po’ ambigui. La stessa educazione che cerco di promuovere con questo blog e che dovrebbero promuovere quanti “masticano” della materia. E, senza paura, dovremmo dire e ripetere che Accredia ha fatto male a promuovere quello schema senza il coinvolgimento del Garante dei dati personali.

    RispondiElimina