Vai al contenuto principale

ISO/IEC 27701.

ISO 27701 è l'estensione per la gestione delle informazioni sulla privacy di ISO 27001. Aggiunge gli obblighi del titolare e del responsabile del trattamento al di sopra dell'ISMS. Utile per le organizzazioni che desiderano un unico sistema di gestione certificabile che copra sia la sicurezza sia la privacy. Si ricollega al GDPR, ma non "sostituisce" il lavoro di conformità al GDPR.

Di Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy e protezione dei datiTutte le voci

Il punto di vista di Cyber Academy

ISO 27701 è l'estensione per la gestione delle informazioni sulla privacy di ISO 27001. Aggiunge gli obblighi del titolare e del responsabile del trattamento al di sopra dell'ISMS. Utile per le organizzazioni che desiderano un unico sistema di gestione certificabile che copra sia la sicurezza sia la privacy. Si ricollega al GDPR, ma non "sostituisce" il lavoro di conformità al GDPR.

Un'estensione, non una norma autonoma

ISO/IEC 27701 non si regge da sola. È concepita come un'estensione di ISO/IEC 27001 e ISO/IEC 27002, il che significa che non è possibile certificarsi rispetto a essa senza disporre prima di un sistema di gestione della sicurezza delle informazioni (SGSI) operativo. La norma prende i controlli di sicurezza che già gestite e vi sovrappone requisiti e linee guida specifici per la privacy, trasformando il SGSI in un Sistema di Gestione delle Informazioni sulla Privacy (PIMS). Per un'organizzazione che già opera ISO 27001, si tratta di una mossa efficiente: riutilizzate lo stesso governo, la stessa metodologia di rischio, lo stesso ciclo di audit, ed estendete il perimetro per coprire il trattamento dei dati personali identificativi (PII).

Questa scelta architetturale è il punto centrale. Anziché gestire la privacy come un programma separato con i propri comitati e le proprie evidenze, ISO 27701 vi consente di certificare un unico sistema di gestione che copre sia la sicurezza sia la privacy. La Dichiarazione di Applicabilità viene ampliata, la valutazione del rischio considera ora il rischio per la privacy delle persone e non solo il rischio per l'organizzazione, e lo stesso organismo di certificazione verifica il tutto in un unico incarico.

Obblighi del titolare e del responsabile del trattamento

ISO 27701 ripartisce i suoi requisiti aggiuntivi lungo la stessa linea tracciata dalla normativa sulla protezione dei dati: tra l'organizzazione che agisce come titolare del trattamento (decidendo perché e come i PII vengono trattati) e l'organizzazione che agisce come responsabile del trattamento (trattando PII per conto di altri). Molte organizzazioni sono entrambe contemporaneamente, a seconda del set di dati, perciò la norma vi fornisce due insiemi di linee guida e vi chiede di applicare quello che si adatta a ciascuna attività di trattamento.

  • I temi dal lato del titolare del trattamento includono la base giuridica e la finalità, il consenso e la scelta, la trasparenza verso le persone, la gestione delle richieste degli interessati, i registri dei trattamenti, e gli obblighi quando condividete PII con terze parti.
  • I temi dal lato del responsabile del trattamento includono l'agire solo su istruzioni documentate, l'assistere il titolare nei suoi obblighi, la gestione dei sub-responsabili, e la restituzione o cancellazione dei PII al termine di un contratto.

In pratica è ciò che un team privacy già fa nell'ambito dei regimi moderni di protezione dei dati, ma ISO 27701 lo organizza in controlli verificabili con evidenze documentate, che è esattamente ciò che trasforma una postura privacy in qualcosa che una terza parte può verificare.

Dove si colloca accanto al GDPR

L'errata interpretazione più comune è che la certificazione ISO 27701 vi renda conformi al GDPR. Non è così, e la norma sta attenta a non affermarlo. Il GDPR è legge e ISO 27701 è una norma di sistema di gestione volontaria. Ciò che 27701 vi offre è un quadro strutturato e certificabile i cui controlli si allineano strettamente ai principi di protezione dei dati, dunque costituisce una prova solida di responsabilizzazione (accountability) e una buona struttura portante operativa. Ma la conformità a uno specifico regime giuridico richiede comunque la vostra analisi legale, i vostri registri, e la vostra gestione dimostrabile dei diritti individuali ai sensi di tale legge.

ISO 27701 accanto al GDPR
DimensioneISO/IEC 27701GDPR
NaturaNorma di sistema di gestione volontariaLegge vincolante dell'UE
Cosa produceUn PIMS certificabileObblighi legali e diritti individuali
Costruita suISO 27001 / ISO 27002Principi di protezione dei dati
Verificata daOrganismo di certificazione accreditatoAutorità di controllo e tribunali
RelazioneSi allinea alla conformità e la supportaL'obbligo che 27701 vi aiuta a soddisfare

Il modo pulito di gestirla consiste nell'ancorare la privacy allo stesso SGSI che usate per la sicurezza, certificare il sistema combinato a ISO 27001 più ISO 27701, e mantenere il vostro responsabile della protezione dei dati e il team legale titolari della legge stessa. La norma gestisce la disciplina operativa; loro gestiscono l'interpretazione.

Domande frequenti

01Posso certificarmi a ISO 27701 senza ISO 27001?

No. ISO 27701 è un'estensione che richiede un SGSI ISO 27001 certificato, o certificato contestualmente, come fondamento. Estendete il sistema di gestione esistente in un sistema di gestione delle informazioni sulla privacy anziché costruirne uno separato.

02ISO 27701 rende la mia organizzazione conforme al GDPR?

No. È una norma volontaria i cui controlli si allineano strettamente ai principi di protezione dei dati, dunque costituisce una prova solida di responsabilizzazione. La conformità effettiva al GDPR richiede comunque la vostra analisi legale, i vostri registri, e la vostra gestione dei diritti individuali.

03Che cos'è un PIMS?

Un Sistema di Gestione delle Informazioni sulla Privacy è ciò che ottenete quando ISO 27701 estende un SGSI ISO 27001 per coprire la protezione dei dati personali identificativi, aggiungendo i requisiti del titolare e del responsabile del trattamento ai controlli di sicurezza già in essere.

04ISO 27701 copre sia i titolari sia i responsabili del trattamento?

Sì. Fornisce linee guida separate per le organizzazioni che agiscono come titolari del trattamento di PII e come responsabili del trattamento di PII, e voi applicate l'insieme che si adatta a ciascuna attività di trattamento. Molte organizzazioni sono entrambe a seconda del set di dati.

05Come si relaziona ISO 27701 con il ruolo del DPO?

Sono complementari. ISO 27701 fornisce il sistema di gestione e i controlli verificabili, mentre il responsabile della protezione dei dati è titolare dell'interpretazione della legge, della consulenza, e del rapporto con le autorità di controllo. La norma rende il lavoro del DPO ripetibile e documentato.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.