Certificazioni

Norma ISO 31700 e Privacy by design: scopri i dettagli e le indicazioni per garantire la conformità alle normative sulla privacy durante la progettazione di soluzioni

La norma ISO 31700, pubblicata a gennaio del 2023, consta di 27 requisiti per la privacy by design. Nella documentazione ufficiale figurano anche tre casi d’uso che illustrano come possono essere adeguati ai processi

Aggiornato il 13 Set 2023

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

A gennaio 2023 è stata pubblicata la norma ISO 31700-1:2023: Consumer protection — Privacy by design for consumer goods and servicesPart 1: High-level requirements .

La norma si limita a trattare di beni e servizi a uso personale non destinati a organizzazioni per il trattamento di dati personali di cui sono titolari o responsabili del trattamento.

Prima di procedere è necessario ricordare che il principio di Privacy by design fu sviluppato inizialmente negli anni Novanta da Ann Cavoukian, all’epoca assistente dell’Information and Privacy commissioner dell’Ontario (Canada).

Lo standard Privacy by design si propone quindi di elencare gli elementi che devono essere rispettati, dall’ideazione alla dismissione, per soddisfare il principio. Tale principio deve considerare sia l’utente del prodotto (il consumatore), sia le persone che interagiscono a vario titolo con esso lungo tutto il suo ciclo di vita.

Le certificazioni rispetto alla ISO 31700

La norma è scritta in modo da usarla come insieme di requisiti di prodotto (product requirements) per uno schema di certificazione secondo la ISO 17065.

WHITEPAPER
Scopri gli impatti che l’obbligo di DPIA avrà per le aziende e nelle PA. Scarica la guida 2023
Cybersecurity
Contract Management

Infatti, i requisiti sono supportati con il modale shall (“deve” o “devono”). Da osservare però che il termine certificazione non è mai usato se non in altro contesto.

I requisiti ISO 31700

I requisiti della ISO 31700 sono 27, suddivisi in 5 capitoli, ossia

  • requisiti generali (sulla progettazione, sui ruoli e responsabilità, sulle competenze e sulla documentazione di supporto)
  • requisiti di comunicazione (istruzioni da fornire ai consumatori, risposte alle richieste e ai reclami dei consumatori, comunicazioni sulle violazioni ai dati personali)
  • requisiti sulla gestione del rischio
  • requisiti sullo sviluppo, la realizzazione e l’esercizio dei controlli relativi alla privacy (inclusi quelli sui test)
  • conclusione del ciclo di vita del prodotto.

Dall’indice disponibile online è possibile identificare i 27 requisiti:

Categoria Requisito ISO 31700-1 (e numero)
General 4.2 Designing capabilities to enable consumers to enforce their privacy rights
4.3 Developing capability to determine consumer privacy preferences
4.4 Designing human computer interface (HCI) for privacy
4.5 Assigning relevant roles and authorities
4.6 Establishing multi-functional responsibilities
4.7 Developing privacy knowledge, skill and ability
4.8 Ensuring knowledge of privacy controls
4.9 Documentation and information management
Consumer communication requirements 5.2 Provision of privacy information
5.3 Accountability for providing privacy information
5.4 Responding to consumer inquiries and complaints
5.5 Communicating to diverse consumer population
5.6 Prepare data breach communications
Risk management requirements 6.2 Conducting a privacy risk assessment
6.3 Assessing privacy capabilities of third parties
6.4 Establishing and documenting requirements for privacy controls
6.5 Monitoring and updating risk assessment
6.6 Including privacy risks in cybersecurity resilience design
Developing, deploying and operating designed privacy controls 7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles
7.3 Designing privacy controls
7.4 Implementing privacy controls
7.5 Designing privacy control testing
7.6 Managing the transition of privacy controls
7.7 Managing the operation of privacy controls
7.8 Preparing for and managing a privacy breach
7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle
End of PII lifecycle requirements 8.2 Designing privacy controls for retirement and end of use

La norma descrive processi, non misure di sicurezza. Per esempio, la necessità di controllare gli accessi ai dati è accennata nell’ambito delle competenze tecniche che dovrebbero avere le persone addette alla progettazione e all’esercizio dei prodotti e nell’ambito dell’esercizio stesso. Ogni requisito è accompagnato da una spiegazione e da una guida.

Per i requisiti tecnici, per fornire fondamenta autorevoli alle scelte fatte, a questo punto si dovranno utilizzare altri riferimenti.

Tra questi si possono citare

ISO/TR  31700: due esempi di uso

La ISO 31700-1 è affiancata da una seconda parte con tre esempi: 

  • di un sito di ecommerce B2C,
  • una palestra (con un servizio aggiuntivo di raccolta dati delle prestazioni e invio su un’app per dispositivo mobile)
  • uno smart lock (con relativa app per dispositivo mobile).

Gli esempi illustrano come i requisiti possono essere applicati a ciascun caso. In realtà, non tutti i requisiti sono illustrati per tutti i casi, anche se quasi sicuramente dovranno essere applicati.

Ancora una volta gli esempi riguardano i processi e non le misure di sicurezza da applicare.

Le certificazioni ISO 37100

Al momento lo standard non include tutti i requisiti di certificazione, ma solo i requisiti di prodotto.

Saranno gli organismi appositi a dovere sviluppare lo schema di certificazione (seguendo la ISO/IEC 17065) e, eventualmente, gli organismi di accreditamento i loro requisiti per il controllo degli organismi di certificazione.

Sicuramente questi requisiti dovranno includere elementi significativi in merito alle competenze del personale che dovrà verificare il prodotto, visto che dovranno includere competenze elevate sia giuridiche sia tecniche, per capire al meglio quanto sarà loro presentato.

Articolo originariamente pubblicato il 10 Feb 2023

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Cesare Gallotti
Consulente su sicurezza delle informazioni, qualità e privacy
Argomenti trattati

Approfondimenti

D
data privacy
G
GDPR
P
privacy

Articolo 1 di 4