Direttive dell’IFPDT per la certificazione di organizzazioni

Ai sensi dell’ordinanza sulle certificazioni in materia di protezione dei dati, l’IFPDT deve emanare direttive sui requisiti minimi del sistema di protezione dei dati, tenendo conto delle norme internazionali sui sistemi di gestione e in particolare della norma ISO/IEC 27001:2005. Queste direttive riprendono gli elementi essenziali della norma 27001, concentrando l’attenzione sulla protezione dei dati e basandosi, per la loro attuazione, su un codice di pratica complementare. Quest’ultima, strutturata in base a nove principi generali della LPD e contenente attualmente circa venti misure concrete, è il corrispettivo, per la protezione dei dati, della norma 27002 (Codice di pratica per la sicurezza delle informazioni), collegata alla norma 27001.

In seguito all’introduzione del nuovo articolo 11 LPD concernente la procedura di certificazione, il 1° gennaio 2008 è entrata in vigore l’ordinanza sulle certificazioni in materia di protezione dei dati (OCPD). L’articolo 4 capoverso 3 OCPD (Certificazione dell’organizzazione e delle procedure) afferma: «L’Incaricato emana direttive sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere. Tiene conto delle norme e degli standard internazionali in materia di installazione, gestione, sorveglianza e ottimizzazione dei sistemi di gestione, segnatamente le norme ISO 9001:2000 e ISO 27001:2005».

A tale scopo, in una prima fase sono stati ripresi dalla norma ISO 27001 i requisiti generali per i sistemi di gestione, che a loro volta derivano dalle prescrizioni di base della norma ISO 9001 sulla gestione per la qualità, come risulta dall’allegato informativo C della norma ISO 27001. La difficoltà principale è consistita nel porre l’attenzione più sulla protezione dei dati che sulla sicurezza delle informazioni. Fortunatamente, grazie all’articolo 7 LPD, che specifica i requisiti prescritti dalla legge stessa per la sicurezza dei dati, la protezione dei dati può essere considerata, per estensione, un obiettivo generale al posto dell’obiettivo perseguito dalla norma ISO 27001, ovvero la sicurezza delle informazioni. Su questa base sarà istituito un sistema di gestione per la protezione dei dati (SGPD) che prescriva, tra l’altro, una politica del sistema di gestione per la protezione dei dati, una selezione di misure per il trattamento delle non conformità, una dichiarazione di applicabilità delle misure adottate con motivazione dell’eventuale esclusione di altre misure, un piano per il trattamento delle non conformità, una verifica delle violazioni o degli incidenti in materia di protezione dei dati e misure correttive o preventive per migliorare il SGPD.

In una seconda fase si è trattato di riprendere l’allegato normativo A dello standard ISO 27001, di fatto costituito dall’indice della norma ISO/IEC 27002:2005, anche nota come «Codice di pratica per la gestione della sicurezza delle informazioni». Questa guida comprende 15 capitoli: gli ultimi 11 formano «settori di controllo», a loro volta suddivisi in 39 «obiettivi di controllo» per un totale di 133 «misure di controllo». L’accento sulla protezione dei dati è qui reso esplicito dalla misura 15.1.4, concernente la protezione dei dati e la confidenzialità dei dati personali, la quale prescrive essenzialmente che queste devono essere garantite come richiesto nella legislazione, nelle norme e, se applicabili, nelle clausole contrattuali.

Nell’ottica di una certificazione di organizzazioni o procedure, questa misura, molto generica, deve essere naturalmente precisata e suddivisa in obiettivi realizzabili, a loro volta, mediante misure di protezione concrete. Ciò è previsto nell’ambito di una «Codice di pratica per l’attuazione», ovvero una «Codice di pratica per la gestione della protezione dei dati» allegata alle «Direttive sui requisiti minimi dei SGPD». Sull’esempio dell’OCSE e di altri paesi come Australia, Gran Bretagna e Canada abbiamo individuato in «nove principi per la protezione dei dati» gli obiettivi principali di questa «Codice di pratica per l’attuazione delle direttive sul SGPD». Attualmente questi obiettivi sono stati tradotti in 20 misure concrete di protezione dei dati, che riprendono, in forma non esaustiva, le esigenze più importanti della legge o della relativa ordinanza di esecuzione. Per facilitare la lettura e la comprensione dell’allegato, ciascuna misura è strutturata secondo lo standard ISO 27002, poiché essa ne rappresenta l’estensione specifica all’ambito della protezione dei dati. Così come la misura 15.1.4 trasferisce i sistemi di gestione per la sicurezza delle informazioni (SGSI) ai sistemi di gestione della protezione dei dati (SGPD), il settimo obiettivo «Sicurezza dei dati» e le misure ad esso collegate non sono altro che il riferimento del SGPD agli SGSI. Tra le 133 misure di sicurezza proposte dalla norma ISO 27002 è stata effettuata una preselezione delle misure più rilevanti in materia di protezione dei dati.

Sebbene non si intenda ovviamente porre quale presupposto, per l’ottenimento di una certificazione SGPD, una certificazione SGSI, il certificatore dovrà tuttavia valutare, caso per caso, il livello di riconoscimento di una certificazione SGSI preesistente, in particolare relativamente ai requisiti in materia di «sicurezza dei dati», e decidere di conseguenza. Per quanto concerne l’accreditamento da parte del Servizio di accreditamento svizzero (SAS), è invece probabile che l’accreditamento SGPD sarà inteso come un’estensione della certificazione SGSI (ISO 27001), poiché in questo caso il riferimento ai requisiti della norma ISO è preciso ed esplicito.

Occorre sottolineare che l’attuale stretto nesso tra le norme svizzere e le norme internazionali ISO 27001 e 27002, senza dimenticare le future norme 27003, 27004, 27005, 27006 e 27007, si rivela opportuno e utile per tutte le parti coinvolte (servizi di accreditamento, organismi di certificazione, organizzazioni certificate, esaminatori, ispettori ecc.), in considerazione del loro ampio riconoscimento e della loro diffusione sul mercato mondiale, oltre che del loro prezioso contributo dal punto di vista terminologico, strutturale e sistematico.

Per conoscere le opinioni delle cerchie interessate, alla fine del 2007 abbiamo avviato una consultazione presso gli uffici federali e un audit esterno. In linea generale, le direttive proposte e l’allegato per la loro attuazione sono stati accolti in maniera piuttosto positiva. Alla luce dei pareri pervenuti stiamo attualmente adeguando le direttive dal punto di vista redazionale per migliorarne la trasparenza e la leggibilità mediante l’introduzione di elementi essenziali della norma ISO 27001, sempre nel rispetto dei limiti imposti dalla normativa sui diritti d’autore. In questo modo l’IFPDT dovrebbe essere in grado di pubblicare le direttive nel corso della primavera 2008.

Ultima modifica 30.06.2008

Inizio pagina

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/15--rapporto-d-attivita-2007-2008/direttive-dell_ifpdt-per-la-certificazione-di-organizzazioni.html