giovedì 19 dicembre 2019

Partito l'accreditamento per la ISO/IEC 27701 (certificazione privacy)

Accredia ha pubblicato la "Circolare tecnica DC N° 10/2019 – Disposizioni in merito all'accreditamento norma ISO/IEC 27701":
- https://www.accredia.it/documento/circolare-tecnica-dc-n-10-2019-disposizioni-in-merito-allaccreditamento-norma-iso-iec-27701/.

In essa sono fornite le regole che devono seguire gli organismi di certificazione per accreditarsi e quindi fornire servizi di certificazione per la ISO/IEC 27701.

Ricordo che la ISO/IEC 27701 è la norma per certificare il sistema di gestione per la protezione dei dati personali (personal information management system), di cui già parlai in precedenza:
- http://blog.cesaregallotti.it/2019/10/stato-delle-norme-isoiec-270xx-aggiunta.html.

Questa mossa sta facendo muovere un po' di cose. Purtroppo ho letto, anche su testate prestigiose, elucubrazioni in merito alla possibilità di usare questa norma per la "certificazione in base all'articolo 42 del GDPR" (errori in cui io stesso incappai, per la verità) e retroscena mai visti.

Ribadisco: la ISO/IEC 27701 non può essere usata per la "certificazione in base all'articolo 42 del GDPR" e al momento non sono disponibili standard di organismi di normazione riconosciuti che vanno in questo senso. L'unico retroscena è che il gruppo editoriale non aveva pienamente riflettuto sul fatto che uno standard costruito sulla base della ISO/IEC 27001 (come la ISO/IEC 27701) non avrebbe potuto riportare requisiti per la certificazione  di un processo (ossia sulla base della ISO/IEC 17065, come richiesto dal GDPR), ma solo per la certificazione di un sistema di gestione (ossia sulla base della ISO/IEC 17021).

Purtroppo poi alcuni nomi, anche significativi, confondono le acque, fornendo indicazioni e critiche non completamente corrette, per promuovere altri schemi (che però hanno più problemi di quelli denigrati):
- https://dptel.imperialida.com/2019/12/prassi-di-riferimento-e-simili-come-meccanismi-di-certificazione-della-protezione-dei-dati/.

Per questo, raccomando di leggere la risposta di Fabio Guasconi su LinkedIn:
- https://www.linkedin.com/posts/rosarioimperiali_prassi-di-riferimento-e-simili-come-meccanismi-activity-6611178784567762944-xdP-/.

Tornando alla circolare Accredia, apprezzo il fatto che alcune richieste sono poste in modo meno prescrittivo, mentre per altri schemi erano poste in modo molto più preciso. Mi riferisco ad alcune richieste che io ritengo fuori luogo, come la visita presso tutti i data centre o la necessità, per gli auditor, di avere competenze sulla ISO/IEC 20000 o altri standard non pertinenti.

PS: purtroppo ho successivamente visto che la circolare Accredia impone, per i fornitori di servizi cloud, anche la ISO/IEC 27017 e 27018 per chi volesse ottenere la certificazione ISO/IEC 27701. Questo è un errore perché aggiunge impropriamente requisiti alla ISO/IEC 27701 (che, tra l'altro, è stata scritta anche considerando quelle due norme).

Nessun commento:

Posta un commento