23 Feb La nuova ISO 31700:2023 e la standardizzazione della Privacy by Design

Autori: Mattia Brambilla Pisoni, Francesca Tugnoli, Giada Iovane

Il concetto di Privacy by design

L’art. 25 del Reg. EU 679/2016 (d’ora in poi “GDPR” o il “Regolamento”), enuncia, tra gli altri, la necessità per i titolari del trattamento del rispetto del principio della c.d. Privacy by Design (d’ora in poi, “PbD”), il quale concretamente richiede che tutti i principi posti a protezione dei dati personali enunciati nel Regolamento siano rispettati sin dalla fase di progettazione di un’attività quando questa possa avere un impatto sulla protezione dei dati personali[1]. Ciò dovrà essere effettuato mediante l’attuazione di misure tecniche ed organizzative adeguate che tengano conto degli elementi indicati dall’art. 32 del GDPR, quali:

1. 1. 1. 1. la considerazione dello stato dell’arte;
         2. i relativi costi di attuazione;
         3. la natura, l’oggetto, il contesto e le finalità del trattamento;
         4. i rischi correlati al trattamento.

Dunque, in forza dell’art. 25 del GDPR sopra citato la protezione dei dati deve diventare parte integrante delle priorità organizzative, degli obiettivi, dei processi di progettazione e delle operazioni di pianificazione necessari per lo sviluppo e l’esecuzione di un prodotto o l’erogazione di un servizio che preveda il trattamento di dati personali.

Le origini della PbD

Nonostante il concetto di PbD cominciasse ad emergere già alla fine degli anni ‘90, lo stesso venne concretamente affrontato per la prima volta durante la 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners)[2], tenutasi a Gerusalemme nel 2010, all’esito della quale venne adottato un documento, la Resolution on Privacy by design, enucleante i sette principi reggenti la PbD, ovvero:

1. 1. 1. 1. Approccio proattivo e non reattivo; preventivo e non correttivo, il quale prevede un’azione da parte del titolare volta ad anticipare e prevedere i possibili rischi intrinseci nel trattamento effettuato, anticipando le eventuali e necessarie azioni preventive;
         2. Privacy come impostazione predefinita: questo principio, che ritroviamo espressamente citato nell’art. 25, par. 2 del GDPR, stabilisce che, durante lo sviluppo di prodotti o servizi che implicano il trattamento di dati personali, vengano implementate impostazioni predefinite volte a garantire il rispetto di tutti i principi previsti dal Regolamento;
         3. Privacy incorporata nel progetto, secondo cui la tutela e il rispetto della protezione dei dati deve essere integrato nelle tecnologie, nelle operazioni e in tutti i processi dell’organizzazione;
         4. Somma positiva, non somma zero, secondo il quale il rispetto della privacy non deve rappresentare un compromesso (somma zero) rispetto all’efficienza della tecnologia o del servizio, ma deve essere un valora aggiunto (somma positiva);
         5. Protezione per tutto il ciclo di vita, ovvero la garanzia che la protezione dei dati venga posta in essere durante tutto il ciclo di vita del prodotto o del servizio, dalla sua progettazione, fino alla sua dismissione o ritiro;
         6. Visibilità e trasparenza, in particolare verso i soggetti interessati, con riferimento sia alle modalità di tutela dei loro dati personali, sia nel momento di esercizio dei diritti dell’interessato;
         7. Centralità dell’utente inteso come soggetto interessato da tutelare nei suoi diritti e nella facilità del loro esercizio.

L’ISO/IEC 31700:2023

Nonostante quanto sopra, tuttavia, né nel documento sopra citato, né tantomeno successivamente con l’entrata in vigore del GDPR, si ritrova un richiamo su come tali principi debbano (o possano) essere concretamente attuati. Infatti, l’implementazione della PbD è sempre stata rimessa alla sensibilità dei singoli titolari, ai quali spettava il compito individuare le modalità necessarie per integrare i requisiti di tutela della privacy nell’ambito dei propri processi, prodotti e servizi. Mancava, dunque, uno standard univoco che potesse guidare tutte le organizzazioni, a prescindere dai trattamenti effettuati, nell’implementazione dei principi di PbD.

Ciò fino allo scorso 8 febbraio, quando la International Organization for Standardization (ISO) ha pubblicato un nuovo standard, la ISO 31700:2023 (di seguito anche solo “norma” o “standard”), che riguarda lo sviluppo della Privacy by Design per i beni e i servizi di consumo[3], intendendosi dunque applicabile ai beni e servizi diretti ad un uso personale (ossia non destinati a organizzazioni) che comportino il trattamento di dati personali e di cui gli stessi sono titolari del trattamento.

La norma, destinata dunque solo ai titolari del trattamento, contiene i requisiti necessari all’implementazione del principio di PbD nell’ambito dei processi aziendali quando, nell’erogazione di servizi o nella creazione e distribuzione di prodotti, vengano svolte attività di trattamento di dati personali dei consumatori e utenti di tali prodotti e servizi (per ciò stesso, dunque, soggetti interessati). L’emanazione dello standard rappresenta una novità fondamentale nell’ambito della tutela dei diritti dei soggetti interessati, poiché fornisce un elenco degli elementi che devono essere rispettati per soddisfare i principi della PbD secondo l’interpretazione della ISO.

Da un diverso angolo di visuale, tuttavia, preme rilevare come, seppur lo standard sia suscettibile di essere applicato anche da parte di coloro che non sono soggetti all’applicazione del GDPR[4], esso, come tutti gli standard, non costituisce una garanzia di conformità al Regolamento[5].

La struttura dello standard

Lo standard si compone di due parti, la prima, ISO/IEC 31700-1:2023, relativa agli High Level Requirements, e la seconda, ISO/IEC 31700-2:2023, riferita agli Use Cases[6]. Al momento, tuttavia, non si tratta di uno standard certificabile conformemente alla ISO 17065[7] ancorché sia potenzialmente tale[8]. Per fare ciò occorrerà attendere l’intervento degli Organismi di Certificazione che dovranno svilupparne il relativo schema.

Al netto della possibilità o meno di certificare la norma, la stessa si presenta sotto forma di 30 requisiti, a loro volta suddivisi in 5 categorie:

1. 1. 1. 1. Requisiti Generali, concernenti tutti quegli elementi preliminari che consentono il rispetto del principio della PbD. Tra i più significativi ricordiamo: le competenze del personale, l’identificazione delle preferenze e dei diritti del consumatore, la definizione di ruoli e responsabilità, nonché la formazione e l’addestramento del personale;
         2. Requisiti di comunicazione al consumatore, volti a garantire l’esercizio dei diritti dei soggetti interessati, nonché il rispetto delle comunicazioni dovute agli stessi da parte del titolare;
         3. Requisiti di Gestione del Rischio, volti a definire gli elementi necessari alla strutturazione di un efficace risk assessment. Nell’ambito di tali requisiti, emerge uno degli elementi chiave proposti dalla ISO 31700, ovvero il privacy impact assessment (PIA). Le PIA, infatti, anche secondo la norma, rappresentano un mezzo necessario al fine di valutare l’impatto potenziale dei rischi privacy di un nuovo servizio o prodotto proposto da parte del titolare del trattamento per poter identificare e mitigare tali rischi in una fase precedente rispetto alla diffusione del prodotto o all’erogazione del servizio;
         4. Requisiti di Sviluppo, implementazione e funzionamento dei controlli sulla privacy progettati, volti a guidare la scelta, l’applicazione, il monitoraggio e, se necessaria, la revisione delle misure di sicurezza da applicare ad un determinato trattamento;
         5. Requisiti di fine ciclo di vita dei dati personali, volti a dettagliare la declinazione dei controlli precedenti se riferiti alla fase di conclusione del ciclo di vita del trattamento dei dati personali.

È importante sottolineare che la norma descrive (e si applica) ai processi, ma non fornisce né descrive alcun tipo di misura di sicurezza che potrebbe essere utile allo scopo di realizzare la PbD[9].

 Conclusioni

La ISO 31700:2023 si pone quale novità di assoluta importanza per il mondo della data protection, poiché rappresenta la prima fonte di linee guida operative a disposizione dei titolari su come attuare ed implementare la PbD nei propri processi e prodotti. La norma, dunque, delinea un effettivo e significativo passo in avanti proprio di quello “stato dell’arte” menzionato dall’art. 25 del GDPR.

[1] Cfr. Ann Cavoukian, The 7 Foundation Principles, Implementation and Mapping of Fair Information Practices, 2011.

[2] Cfr. 32nd International Conference of Data Protection and Privacy Commissioners, Gerusalemme, 27-29 ottobre 2010 (https://globalprivacyassembly.org/wp-content/uploads/2015/02/32-Conference-Israel-resolution-on-Privacy-by-Design.pdf)  e Ann Cavoukian (nt. 1).

[3] Cfr. https://www.iso.org/standard/84977.html.

[4] Cfr. Howard Solomon, Privacy by Design to become an ISO standard next month, in IT World Canada, gennaio 2023.

[5] La ISO 31700:2023, inoltre, non rappresenta l’unico caso di standard internazionale che, pur mutuando concetti e definizioni propri del GDPR, non ne costituisce al pari una linea guida per raggiungerne la conformità, o per la sua generale implementazione. Si ricordi, ad esempio, la ISO: IEC 27701:2019 (https://www.iso.org/standard/71670.html).

[6] Gli Use Cases rappresentano un utile strumento per mostrare come si applica concretamente la norma. La ISO 31700-2:2023 contiene tre diversi casi d’uso, ovvero una piattaforma di E-Commerce, una palestra e uno smart-lock, mostrando, in ciascun caso, come applicare molti dei requisiti esposti nella prima parte della norma (https://www.iso.org/standard/84978.html).

[7] La norma ISO/IEC 17065 rappresenta la naturale evoluzione del precedente documento normativo
ISO Guide 65 (diffusa in Europa come EN 45011). La EN 45011 è stata utilizzata come riferimento principale dagli Enti di accreditamento per verificare la competenza degli Organismi interessati, nell’ambito delle attività di verifica propedeutiche alla concessione dell’accreditamento, così come in quelle periodiche di sorveglianza ed è stata utilizzata dagli Enti di accreditamento firmatari degli accordi multilaterali EA (European cooperation for Accreditation) e IAF (International Accreditation Forum). Anche in questo caso – come già avvenuto in occasione del passaggio dalla norma EN 45012 alla ISO/IEC 17021 nel 2006 – si evidenzia l’aspetto di miglioramento insito nel processo di revisione delle norme: l’Ente normatore (ISO) emette la norma, gli Enti di accreditamento, che fanno capo alle due organizzazioni internazionali EA/IAF, la utilizzano per valutare gli Organismi e concedere gli accreditamenti, evidenziandone elementi di debolezza e miglioramento, che vengono condensati nei documenti di guida all’applicazione (Guidelines EA/IAF). Sul punto, v. Alberto Musa, La norma ISO/IEC 17065:2012 “Conformity assessment Requirements for bodies certifying products, processes and services” Continuità e novità rispetto alla precedente EN 45011, in Qualità, AICQ – Associazione Italiana Cultura Qualità, 2013.

[8] Cfr. Cesare Gallotti, Privacy by design: requisiti e casi d’uso della norma ISO 31700, in Risk Management 360, 2023 (https://www.riskmanagement360.it/analisti-ed-esperti/privacy-by-design-requisiti-e-casi-duso-della-norma-iso-31700/).

[9] A tal fine si dovrà continuare a far riferimento a quanto disposto da altri standard e fonti, quali le ISO 27001:2022, ISO 27018:2019, ISO 27400:2022, nonché all’Handbook on Security of Personal Data Processing condiviso da ENISA (https://www.enisa.europa.eu/publications/handbook-on-security-of-personal-data-processing)