Home Standard Settori ✦ Valutazione IA Richiedi un preventivo →
HomeStandard → ISO 27701

ISO/IEC 27701 — Gestione delle Informazioni sulla Privacy

Lo standard internazionale per i Sistemi di Gestione delle Informazioni sulla Privacy (PIMS). La ISO 27701 estende la ISO 27001 con controlli specifici per la privacy — fornendo un framework strutturato e verificabile per la conformità a GDPR, LGPD, PIPEDA e altre normative sulla privacy.

ISO 27701:2019PIMSAllineamento GDPRFramework privacy

Che cos'è ISO/IEC 27701?

ISO/IEC 27701:2019 è un'estensione di ISO 27001 e ISO 27002 che specifica requisiti e linee guida per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione delle Informazioni sulla Privacy (PIMS). Mappa i controlli sulla privacy sui ruoli sia dei Titolari del Trattamento dei Dati Personali (PIC) che dei Responsabili del Trattamento dei Dati Personali (PIP).

Relazione con ISO 27001

ISO 27701 non è uno standard autonomo — estende ISO 27001. Le organizzazioni devono possedere la certificazione ISO 27001 (o perseguirla contemporaneamente) prima di ottenere la certificazione ISO 27701. Il programma integrato condivide il framework di gestione dell'ISMS, riducendo significativamente l'impegno di implementazione e il costo dell'audit rispetto a incarichi separati.

Chi ha bisogno della ISO 27701?

  • Organizzazioni che trattano dati personali dell'UE soggette agli obblighi GDPR
  • Provider di servizi cloud e responsabili del trattamento che gestiscono dati personali dei clienti
  • Piattaforme tecnologiche per la sanità e le risorse umane
  • Istituti finanziari soggetti a requisiti di molteplici giurisdizioni in materia di privacy
  • Qualsiasi organizzazione che desideri dimostrare responsabilità ai sensi dell'Articolo 5(2) del GDPR

ISO 27701 e conformità GDPR

Sebbene la certificazione ISO 27701 non costituisca prova legale di conformità al GDPR, fornisce un framework documentato e verificato in modo indipendente che si mappa direttamente sugli obblighi di responsabilità del GDPR. Le autorità di vigilanza e i responsabili della protezione dei dati riconoscono ampiamente la ISO 27701 come una solida misura di responsabilità ai sensi dell'Articolo 24 del GDPR.

Aree di controllo principali

  • Condizioni di privacy per la raccolta e il trattamento delle informazioni personali
  • Obblighi verso le persone (interessati): trasparenza, accesso, rettifica, cancellazione
  • Privacy by design e by default nella progettazione di sistemi e processi
  • Controlli sul trasferimento dei dati inclusi meccanismi di trasferimento transfrontaliero
  • Gestione dei responsabili e sub-responsabili del trattamento ai sensi dell'Articolo 28 del GDPR
  • Procedure di notifica delle violazioni dei dati allineate al requisito delle 72 ore del GDPR

Tempistiche tipiche

Per le organizzazioni che possiedono già la ISO 27001: 2-3 mesi per aggiungere la certificazione ISO 27701. Per le organizzazioni che perseguono ISO 27001 + ISO 27701 contemporaneamente: 4-6 mesi.