7 min read time

ISO 31700 e Privacy by Design: cosa devi sapere

by   in Cybersecurity

Recentemente, la ISO 31700 è stata adottata come standard per il Privacy by Design (PbD). Il concetto di PbD è stato sviluppato per la prima volta da Ann Cavoukian, ex commissario per l'informazione e la privacy dell'Ontario (Canada) nel 2009 ed è diventato un elemento centrale delle normative globali sulla privacy, tra cui il GDPR, il California Privacy Rights Act (CPRA) e la Lei Geral de Protecao de Dados (LGPD) del Brasile.

ISO 31700 and Privacy by DesignIl concetto di privacy by design (PbD) inserisce i requisiti di privacy all'interno della progettazione, dello sviluppo e della distribuzione di prodotti, servizi e sistemi. Gli elementi fondamentali contengono principi guida per la raccolta, l'utilizzo, la conservazione e la divulgazione di informazioni personali e per l'implementazione di misure di sicurezza adeguate a proteggere tali informazioni. L'idea è quella di integrare le procedure di tutela della privacy fin dall'inizio, all’interno dei sistemi per il trattamento delle informazioni quando si definiscono le  modalità di condivisione dei dati, anziché aggiungere la protezione della privacy a posteriori. 

Non si tratta di un lavoro banale, considerando che gran parte delle informazioni e delle applicazioni sono storicizzate. Tuttavia, concettualmente, si tratta di un passo verso la giusta direzione per preservare le informazioni personali e la privacy.

Il PbD e alcuni dei nuovi standard ISO si integrano bene con gli standard e i framework esistenti per la data discovery e la classificazione, la minimizzazione dei dati (ISO 27701), la governance dell'accesso ai dati (NIST 800) e la data protection (inclusi NIST 800-38G e SP 800-57) che preservano la privacy e supportano l'uso sicuro ed etico dei dati. La norma ISO 31700 sottolinea anche i vantaggi per il PbD che possono derivare da una conservazione e una gestione delle informazioni basate su policy.

Tecnologie di abilitazione alla privacy (PET) e ISO 31700

Con il termine PET (acronimo di Privacy-Enhancing Technology) si fa riferimento all'insieme di tecnologie progettate per migliorare la privacy e supportare standard come l'ISO 31700, riducendo la quantità di dati personali che vengono raccolti e condivisi. Queste tecnologie includono il rilevamento delle informazioni di identificazione personale (PII), la de-identificazione, l'anonimizzazione e le tecniche di minimizzazione dei dati. Inoltre, l’uso delle tecnologie PET mira a ridurre il rischio di utilizzo o abuso dei dati personali in modi che potrebbero danneggiare l'utente se non correttamente gestiti dal punto di vista etico.

All'interno delle tecnologie PET, esiste un sottoinsieme di funzionalità chiamate Privacy-Preserving Technology che sono progettate in modo specifico per proteggere la privacy di individui e organizzazioni quando questi condividono, raccolgono o elaborano personalmente i dati. Queste funzionalità sono utilizzate in vari contesti, tra cui la privacy dei consumatori, la data analytics e ciò che attiene alla gestione del ciclo di vita delle informazioni. Il loro scopo è garantire che i dati personali restino protetti e che non possano essere accessibili o utilizzati da soggetti non autorizzati.

Le principali tecnologie PET per rafforzare la privacy e abilitare un modello PbD e la ISO 31700 sono:

  • Cifratura: preserva i dati dall'uso/accesso non autorizzato o dalla loro visualizzazione in chiaro.
  • Mascheramento/Anonimizzazione: preserva i dati rimuovendo le informazioni di identificazione personale dai dataset, rendendo così difficile ricondurre i dati a individui specifici.
  • Tokenizzazione: preserva i dati sostituendo i dati sensibili con un token unico e reversibile che può essere usato per rappresentare i dati ma non per rivelare i dati stessi senza la presenza del token.
  • Pseudonimizzazione: preserva i dati sostituendo le informazioni di identificazione personale con uno pseudonimo o un nome falso, che non possa essere ricondotto all'individuo.
  • Minimizzazione dei dati: preserva i dati raccogliendo e conservando solo la quantità minima d’informazioni necessaria per conseguire uno scopo specifico, riducendo così il rischio di uso improprio o di abuso dei dati.
  • Monitoraggio e controllo dell'accesso ai dati: preservano la privacy garantendo che soggetti non autorizzati non possano accedere o utilizzare i dati personali.

La norma ISO 31700 contiene diversi principi fondamentali a cui le organizzazioni possono allinearsi per contribuire a garantire la PbD. Molti di questi principi, processi e pratiche sono potenziati dalle PET. Con l'aggiunta di indicazioni specifiche per la gestione del ciclo di vita, risulta evidente come, attualmente, le pratiche di privacy stiano maturando e si stiano allineando maggiormente con una gestione olistica delle informazioni presenti all'interno di tutta l'azienda. 

Supporto degli standard di sicurezza e della privacy La ISO 31700 si allinea con le pratiche di sicurezza e di privacy stabilite dalle norme ISO 27001/27701 e NIST. Voltage File Analysis Suite può aiutare a valutare il rischio e a supportare la minimizzazione dei dati in linea con NIST e ISO 27701. Inoltre, Voltage SecureData ha sviluppato lo standard NIST per la cifratura a preservazione di formato, che svolge un ruolo centrale tra le tecniche di protezione dei dati dell'intero portafoglio CyberRes by OpenText, garantendo che le informazioni siano condivise in modo sicuro ed etico all'interno dell'azienda.

La norma ISO 31700 prevede ulteriori requisiti che evidenziano i controlli sulla privacy e la data protection come strumenti fondamentali per proteggere il brand e la reputazione aziendale. Data discovery, data protection e gestione del ciclo di vita aiutano a predisporre pratiche che creano fiducia nei dati, assicurando che le informazioni aziendali siano conservate, protette, gestite e mantenute sulla base di pratiche e standard PbD.

Regolamenti globali e Privacy by Design

GDPR e GDPR del Regno Unito

L’articolo 25 del GDPR, stabilisce che debba sempre essere adottata la " data protection by design" e afferma che le organizzazioni devono adottare "misure tecniche e organizzative adeguate a sostenere la sicurezza dei dati e i diritti alla privacy". L'articolo 25 richiama specificamente le tecnologie PET come la minimizzazione dei dati, la cifratura, la tokenizzazione e il mascheramento che preservano la privacy.

Anche il GPDR del Regno Unito prevede i medesimi principi.

Scopri come Voltage favorisce il rispetto del GDPR

DORA e NIS2

La Direttiva UE 2022/2555 solitamente indicata come Direttiva NIS2 (Network and Information Security) e il Digital Operational Resilience Act, indicato più semplicemente come Regolamento DORA, rappresentano il framework di normative legate alla sicurezza informatica per tutti i soggetti operanti nel mercato unico.

La Direttiva NIS 2, che sostituisce la Direttiva UE 2016/1148 (NIS1), è entrata in vigore a gennaio 2023 e gli Stati membri dell’Unione europea dovranno recepirla entro ottore 2024.

Rispetto alla NIS1, che era stata recepita in Italia nel 2018, la NIS2 introduce una serie di misure per la gestione dei rischi legati alle minacce informatiche, a cui si aggiungono la definizione di sanzioni e obblighi di segnalazione degli incidenti informatici “significativi”. Inoltre, rispetto alla NIS1, amplia il numero di soggetti coinvolti, portandolo dalle sole aziende operanti nei settori critici anche ad altri fornitori digitali (tra cui i motori di ricerca e i social network), i gestori di rifiuti, i servizi postali e le organizzazioni di Ricerca.

DORA nasce con l’obiettivo di riunire e armonizzare a livello europeo tutti i requisiti di resilienza operativa digitale che interessano il settore finanziario. Grazie all’adozione delle misure di governance, cybersecurity, risk management e incident reporting previste da DORA, le imprese del settore dovrebbero essere in grado di affrontare efficacemente gli attacchi informatici.

Scopri come Voltage favorisce il rispetto della LGPD

Orientarsi nel nuovo panorama della privacy dei dati

Il panorama della privacy è in continua evoluzione. OpenText aiuta i propri clienti a restare costantemente aggiornati, fornendo tecnologie PET che migliorano la privacy e supportano le pratiche di gestione delle informazioni, favorendo l'innovazione e il vantaggio competitivo.

I vantaggi di Voltage by OpenText

La data discovery è fondamentale per comprendere il valore e l'esposizione al rischio dei dati. Inoltre, la classificazione dei dati aiuta a identificare ed etichettare le informazioni critiche e sensibili per l'azienda (tra cui PII, dati proprietari e proprietà intellettuale), contribuendo, così, alla minimizzazione dei dati, alla conformità alla privacy e alla protezione. In più, il campionamento intelligente di Voltage FAS SmartScan si adatta perfettamente alla valutazione dell'impatto sulla privacy di grandi patrimoni di dati e, pertanto, può aiutare le imprese ad affrontare meglio i loro processi di Privacy Impact Assessment e a rendere operativi i programmi di privacy e compliance.

Content Cloud si integra con i sistemi che producono e utilizzano le informazioni, rendendo la gestione dei contenuti aziendale più pervasiva all'interno dell'organizzazione e semplificando l'accesso, la distribuzione e l'utilizzo dei dati strutturati e non strutturati. Le funzionalità di gestione del ciclo di vita di Content Cloud contribuiscono a supportare il modello PbD, gestendo l'accesso e la conservazione delle informazioni sensibili di aziende e consumatori, fondamentali per la privacy e la conformità dei dati. 

Per ulteriori informazioni su Voltage by OpenText, visitate il nostro Data Privacy Hub o la pagina del portafoglio Voltage. Potete unirvi alla Voltage Data Privacy and Protection Community e tenervi aggiornati con i più recenti suggerimenti e informazioni sulla privacy e la protezione dei dati.

Non esitate a contattarci per ulteriori informazioni, saremo lieti di entrare in contatto con voi per aiutarvi con le vostre iniziative di conformità alla privacy.

 

Visualizza il blog originale in inglese

Labels:

Data Privacy and Protection