Lo standard internazionale ISO/IEC 27701 descrive le misure di governance e di sicurezza da adottare per il trattamento dei dati personali. La norma ISO/IEC 42001 si rivolge alle organizzazioni che forniscono o utilizzano sistemi di IA.
Standard per la protezione dei dati personali
Cos’è lo standard 27701?
Da molti anni la sicurezza informatica si avvale di due standard riconosciuti a livello internazionale:
- ISO/IEC 27001, che certifica un “sistema di gestione della sicurezza delle informazioni”;
- ISO/IEC 27002, che illustra le migliori pratiche per l’attuazione delle misure di sicurezza necessarie.
Per standardizzare e rafforzare la protezione dei dati personali, la norma ISO/IEC 27701, pubblicata nell’agosto 2019, integra questi due standard definendo:
- un “sistema di gestione della protezione della privacy” esteso per includere le caratteristiche specifiche del trattamento dei dati personali:
- determinazione del ruolo dell’organizzazione da certificare (responsabile del trattamento, incaricato del trattamento);
- gestione unificata dei rischi informatici per l’organizzazione e dei rischi per la privacy delle persone, nomina di un responsabile della privacy (secondo la norma ISO/IEC 27701, si tratta del responsabile della protezione dei dati);
- sensibilizzazione del personale, classificazione dei dati, protezione dei supporti rimovibili, gestione degli accessi e crittografia dei dati, backup dei dati, registrazione degli eventi;
- condizioni per il trasferimento dei dati, privacy by design e by default, gestione degli incidenti; ecc;
- conformità ai requisiti legali e normativi, ecc.
- misure specifiche per il trattamento dei dati personali, tenendo conto del ruolo dell’organizzazione (responsabile del trattamento, incaricato del trattamento, incaricato del trattamento):
- principi fondamentali: finalità del trattamento, base giuridica, ottenimento e revoca del consenso, inventario delle operazioni di trattamento, valutazione dell’impatto sulla privacy, ecc;
- diritti delle persone: informazione, accesso, rettifica, cancellazione, decisione automatizzata;
- privacy by design e by default: minimizzazione, de-identificazione e cancellazione dei dati, periodi di conservazione;
- accordi di subappalto, trasferimento e condivisione dei dati.
Contributi di esperti e autorità per la protezione dei dati
Questo standard è stato redatto a livello internazionale, con il contributo di esperti provenienti da tutti i continenti e la partecipazione di numerose autorità di protezione dei dati. Gli esperti del CNIL vi hanno lavorato attivamente, con il supporto dell’AFNOR e del Comitato europeo per la protezione dei dati (GEPD).
Si è tenuto conto del RGPD e di altri importanti testi sulla protezione dei dati (tra cui quelli adottati da Australia, Brasile, California e Canada). La vicinanza dello standard al RGPD è dimostrata da un’appendice dedicata, che stabilisce la corrispondenza tra gli articoli dello standard e quelli del RGPD. Inoltre, l’implementazione di un sistema di gestione, che include la gestione e la documentazione della protezione dei dati, soddisfa il principio generale di responsabilità del RGPD.
In sintesi, lo standard ISO/IEC 27701 è di portata globale. Rappresenta lo stato dell’arte nella protezione della privacy e consente alle organizzazioni che lo adottano di aumentare la propria maturità e dimostrare un approccio attivo alla protezione dei dati personali. Non è specifico per il RGPD e non costituisce, in quanto tale, una certificazione ai sensi dell’articolo 42 del RGPD.
È stata pertanto adattata dal Comitato europeo di normalizzazione per l’elettronica e l’elettrotecnica (CEN-CENELEC) con la nuova norma EN 17926 “Sistema di gestione della privacy in conformità alla norma EN ISO/IEC 27701 – Rifiniture relative al contesto europeo”, pubblicata nel novembre 2023.
Si tratta di un’estensione della norma ISO/IEC 27701 che rende obbligatorie tutte le misure imposte dal RGPD (in particolare i diritti degli interessati) e specifica alcune misure in questo contesto (ad esempio, il termine per la notifica di una violazione dei dati). È in preparazione anche uno schema di certificazione europeo.
Standard per l’intelligenza artificiale
Allo stesso tempo, il nuovo standard ISO/IEC 42001, pubblicato nel dicembre 2023, propone un “sistema di gestione dell’intelligenza artificiale” per le organizzazioni che forniscono o utilizzano sistemi di intelligenza artificiale.
Questo standard descrive i processi per la gestione delle problematiche relative all’affidabilità dei sistemi di IA: sicurezza, equità, trasparenza, qualità dei dati e del sistema durante l’intero ciclo di vita. Inoltre, questo standard fornisce una serie di misure operative e raccomandazioni per la loro attuazione: condurre un’analisi dei vari impatti e rischi di un sistema di IA, garantire uno sviluppo e un utilizzo responsabile, documentare e monitorare il sistema, ecc.
Infine, su richiesta della Commissione europea, il Comitato europeo di normalizzazione per l’elettronica e l’elettrotecnica (CEN-CENELEC) ha avviato un programma di lavoro per lo sviluppo di “norme armonizzate” che aiutino le organizzazioni a dimostrare la loro conformità al regolamento europeo sull’IA. Questi standard permetteranno di specificare l’applicazione pratica del regolamento, ad esempio per quanto riguarda le “misure appropriate di gestione del rischio”.