La protezione dei dati personali nel “cloud”: standard ISO 27018 e ISO 29100

La tematica della protezione dei dati personali trattati nei servizi erogati in modalità “cloud” è sempre più delicata. Questo, in considerazione della crescente diffusione dell’utilizzo dei servizi “cloud” e degli stringenti requisiti del nuovo Regolamento Europeo sulla Privacy (GDPR), inclusi i requisiti che disciplinano i trasferimenti di dati personali al di fuori dell’Unione Europea.

Lo standard “ISO/IEC 27018:2014” Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors” fornisce linee guida per la protezione delle informazioni di identificazione personale (i dati personali ai sensi della “privacy”) che sono trattati nel “cloud”. 

Lo standard ISO 27018 appartiene alla famiglia di standard della serie ISO 27000, di cui il noto standard ISO 27001 riporta i requisiti per l’adozione di un sistema di gestione per la sicurezza delle informazioni certificabile sotto accreditamento da parte di organismo di certificazione.  In quanto linea guida, lo standard ISO 27018 invece non può essere oggetto di certificazione sotto accreditamento, anche se alcune Organizzazioni tra quelle più note a livello internazionale scelgono comunque di certificare fuori accreditamento la propria conformità alle linee guida dello standard ISO 27018.

In estrema sintesi, lo standard ISO 27018 si struttura in due grandi parti. La prima parte riprende tutti i controlli riportati nell’Appendice A dello standard ISO 27001 (più precisamente, della linea guida ISO 27002) e per alcuni di essi riporta ulteriori indicazioni, sotto forma di linee guida, per la relativa implementazione (“controlli aumentati”).  La seconda parte (ISO 27018 Annex A) specifica ulteriori controlli (“controlli aggiuntivi”) per la protezione dei dati personali. In particolare, tali controlli riprendono gli 11 principi di gestione della privacy riportati dallo standard ISO 29100.

Lo standard ISO/IEC 29100: 2011 “Information technology — Security techniques — Privacy framework” è una linea guida che descrive un modello (“framework”) per la gestione della privacy per i dati personali trattati mediante sistemi IT.  In particolare lo standard ISO 29100 specifica e una comune terminologia in materia di privacy, definisce  gli attori e i loro ruoli nel trattamento dei dati personali, descrive i requisiti per la protezione dei dati personali, definisce i  principi per il corretto trattamento dei dati personali. Tutti questi aspetti sono perfettamente allineati ai termini, alle definizioni ed ai principi ripresi dal GDPR:

Relativamente a quest’ultimo punto, lo standard ISO 29100 elenca i seguenti 11 principi:
1. Consenso e scelta; 2. Legittima finalità del trattamento e relative specificazioni; 3. Limitazione alla raccolta dei dati; 4. Minimizzazione dei dati; 5. Limitazione all’utilizzo, conservazione e diffusione dei dati; 6. Accuratezza e Qualità; 7. Apertura, trasparenza e informativa; 8. Partecipazione individuale e accesso ai dati; 9. Responsabilità; 10. Sicurezza delle Informazioni; 11. Conformità normativa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *