Certificazioni

Norma ISO 31700 e Privacy by design: scopri i dettagli e le indicazioni per garantire la conformità alle normative sulla privacy durante la progettazione di soluzioni

La norma ISO 31700, pubblicata a gennaio del 2023, consta di 27 requisiti per la privacy by design. Nella documentazione ufficiale figurano anche tre casi d’uso che illustrano come possono essere adeguati ai processi

Aggiornato il 13 Set 2023

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

privacy

A gennaio 2023 è stata pubblicata la norma ISO 31700-1:2023: Consumer protection — Privacy by design for consumer goods and servicesPart 1: High-level requirements .

La norma si limita a trattare di beni e servizi a uso personale non destinati a organizzazioni per il trattamento di dati personali di cui sono titolari o responsabili del trattamento.

Prima di procedere è necessario ricordare che il principio di Privacy by design fu sviluppato inizialmente negli anni Novanta da Ann Cavoukian, all’epoca assistente dell’Information and Privacy commissioner dell’Ontario (Canada).

Lo standard Privacy by design si propone quindi di elencare gli elementi che devono essere rispettati, dall’ideazione alla dismissione, per soddisfare il principio. Tale principio deve considerare sia l’utente del prodotto (il consumatore), sia le persone che interagiscono a vario titolo con esso lungo tutto il suo ciclo di vita.

Le certificazioni rispetto alla ISO 31700

La norma è scritta in modo da usarla come insieme di requisiti di prodotto (product requirements) per uno schema di certificazione secondo la ISO 17065.

Infatti, i requisiti sono supportati con il modale shall (“deve” o “devono”). Da osservare però che il termine certificazione non è mai usato se non in altro contesto.

I requisiti ISO 31700

I requisiti della ISO 31700 sono 27, suddivisi in 5 capitoli, ossia

  • requisiti generali (sulla progettazione, sui ruoli e responsabilità, sulle competenze e sulla documentazione di supporto)
  • requisiti di comunicazione (istruzioni da fornire ai consumatori, risposte alle richieste e ai reclami dei consumatori, comunicazioni sulle violazioni ai dati personali)
  • requisiti sulla gestione del rischio
  • requisiti sullo sviluppo, la realizzazione e l’esercizio dei controlli relativi alla privacy (inclusi quelli sui test)
  • conclusione del ciclo di vita del prodotto.

Dall’indice disponibile online è possibile identificare i 27 requisiti:

CategoriaRequisito ISO 31700-1 (e numero)
General4.2 Designing capabilities to enable consumers to enforce their privacy rights
4.3 Developing capability to determine consumer privacy preferences
4.4 Designing human computer interface (HCI) for privacy
4.5 Assigning relevant roles and authorities
4.6 Establishing multi-functional responsibilities
4.7 Developing privacy knowledge, skill and ability
4.8 Ensuring knowledge of privacy controls
4.9 Documentation and information management
Consumer communication requirements5.2 Provision of privacy information
5.3 Accountability for providing privacy information
5.4 Responding to consumer inquiries and complaints
5.5 Communicating to diverse consumer population
5.6 Prepare data breach communications
Risk management requirements6.2 Conducting a privacy risk assessment
6.3 Assessing privacy capabilities of third parties
6.4 Establishing and documenting requirements for privacy controls
6.5 Monitoring and updating risk assessment
6.6 Including privacy risks in cybersecurity resilience design
Developing, deploying and operating designed privacy controls7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles
7.3 Designing privacy controls
7.4 Implementing privacy controls
7.5 Designing privacy control testing
7.6 Managing the transition of privacy controls
7.7 Managing the operation of privacy controls
7.8 Preparing for and managing a privacy breach
7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle
End of PII lifecycle requirements8.2 Designing privacy controls for retirement and end of use

La norma descrive processi, non misure di sicurezza. Per esempio, la necessità di controllare gli accessi ai dati è accennata nell’ambito delle competenze tecniche che dovrebbero avere le persone addette alla progettazione e all’esercizio dei prodotti e nell’ambito dell’esercizio stesso. Ogni requisito è accompagnato da una spiegazione e da una guida.

Per i requisiti tecnici, per fornire fondamenta autorevoli alle scelte fatte, a questo punto si dovranno utilizzare altri riferimenti.

Tra questi si possono citare

ISO/TR  31700: due esempi di uso

La ISO 31700-1 è affiancata da una seconda parte con tre esempi: 

  • di un sito di ecommerce B2C,
  • una palestra (con un servizio aggiuntivo di raccolta dati delle prestazioni e invio su un’app per dispositivo mobile)
  • uno smart lock (con relativa app per dispositivo mobile).

Gli esempi illustrano come i requisiti possono essere applicati a ciascun caso. In realtà, non tutti i requisiti sono illustrati per tutti i casi, anche se quasi sicuramente dovranno essere applicati.

Ancora una volta gli esempi riguardano i processi e non le misure di sicurezza da applicare.

Le certificazioni ISO 37100

Al momento lo standard non include tutti i requisiti di certificazione, ma solo i requisiti di prodotto.

Saranno gli organismi appositi a dovere sviluppare lo schema di certificazione (seguendo la ISO/IEC 17065) e, eventualmente, gli organismi di accreditamento i loro requisiti per il controllo degli organismi di certificazione.

Sicuramente questi requisiti dovranno includere elementi significativi in merito alle competenze del personale che dovrà verificare il prodotto, visto che dovranno includere competenze elevate sia giuridiche sia tecniche, per capire al meglio quanto sarà loro presentato.

Articolo originariamente pubblicato il 10 Feb 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Cesare Gallotti
Consulente su sicurezza delle informazioni, qualità e privacy

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5