Nell’ambito della revisione della LPD è prevista l’istituzione di una procedura di certificazione volontaria in materia di protezione dei dati. Per quel che concerne la certificazione di organizzazioni è previsto sottoporre per parere alle imprese di certificazione un modello di riferimento in due parti: la prima parte concerne le esigenze che deve soddisfare un sistema di gestione della protezione dei dati, mentre la seconda parte comprende uno schema di verifica della conformità che fa riferimento alle esigenze concrete di protezione dei dati in base alla LPD.
Procedura di certificazione nell’ambito della revisione della legge federale sulla protezione dei dati (LPD)
Nell’ambito della revisione della LPD abbiamo continuato la nostra collaborazione con l’Ufficio federale di giustizia (UFG) e con il Servizio di accreditamento svizzero (SAS) e l’Ufficio federale di metrologia (METAS) (cfr. il nostro 12° rapporto d’attività 2004/2005) per definire i requisiti minimi per il rilascio di una certificazione in materia di protezione dei dati per un’organizzazione o una procedura di trattamento di dati. Il nostro obiettivo era l’elaborazione di un modello di riferimento preciso che permetta da un lato di controllare l’esistenza e il funzionamento concreto di un sistema di gestione della protezione dei dati (SGPD) nell’organizzazione sottoposta al controllo e dall’altro di verificare se il livello di protezione dei dati al momento del controllo corrisponde ai requisiti di legge. A tale scopo abbiamo ritenuto utile suddividere il modello di riferimento in due parti distinte: la prima parte concerne il SGPD, la seconda concretizza le esigenze della protezione dei dati.
Per la definizione dei requisiti di un SGPD ci siamo attenuti alle condizioni definite nel nuovo standard ISO/IEC 27001:2005 (in precedenza: BS 7799-2:2002) per i sistemi di gestione della sicurezza delle informazioni (SGSI). A tale proposito l’articolo 7 capoverso 1 LPD (Sicurezza dei dati) prescrive che i dati personali devono essere protetti mediante provvedimenti tecnici ed organizzativi appropriati contro ogni trattamento non autorizzato. Ricordiamo che lo standard ISO/IEC 27001:2005 si basa interamente sullo standard ISO/IEC 17799:2005, che comprende complessivamente 15 capitoli e 134 controlli; il capitolo 15.1.4 concerne specificamente la conformità del trattamento di dati personali. Questo controllo è stato da noi concretizzato alla luce della LPD e costituisce la seconda parte del modello di riferimento, denominata “Modulo di verifica della conformità”.
L’ipotesi di lavoro è la seguente: se al momento del controllo si constata un livello di protezione dei dati riconosciuto conforme ed è dato un SGPD in grado di mantenere il livello di protezione dei dati (o addirittura di migliorarlo), allora si può supporre che le esigenze di protezione dei dati siano soddisfatte in maniera duratura. In tal caso è possibile emanare una certificazione in materia di protezione dei dati di una validità di vari anni; durante il periodo di validità si svolgeranno controlli intermedi e alla scadenza del certificato è previsto un nuovo controllo globale.
Per garantire l’integrità e l’applicabilità del modello di riferimento sottoporremo il nostro progetto alle aziende di certificazione che dispongono di esperienza nell’applicazione delle norme ISO 900x e/o ISO 17799.
[Luglio 2006]