certificazioni

ISO/IEC 27701 sui sistemi di gestione per la privacy: com’è e come sarà

Home Sicurezza digitale
Indirizzo copiato

Entro il 2025, lo standard ISO/IEC 27701, che stabilisce i requisiti di un sistema di gestione per la privacy, sarà ristrutturato. La futura versione cambierà profondamente e permetterà di certificarsi rispetto a essa senza dover essere certificati anche ISO/IEC 27001. Ecco com’è e com’è previsto che sarà

Pubblicato il 30 nov 2023
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

Cybersecurity resilience act

ISO/IEC 27701, dal titolo “Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines”, è uno standard che stabilisce i requisiti di un sistema di gestione per la privacy (Privacy information management system, PIMS).

L’edizione in vigore è del 2019. Essa si appoggia sulla ISO/IEC 27001 sui sistemi di gestione per la sicurezza delle informazioni (information security management system, ISMS).

Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022

A causa dell’aggiornamento dei controlli di sicurezza della ISO/IEC 27001, era prevista per metà 2024 la pubblicazione di un aggiornamento della ISO/IEC 27701, limitato al riallineamento con i nuovi controlli.

L’ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione (p.e. ISO 9001, ISO 14001 e ISO/IEC 27001) e sarà quindi pubblicato non prima del 2025.

Ricordiamo allora brevemente com’è la ISO/IEC 27701 e come è previsto che sarà per poi fornire alcuni spunti sul futuro delle certificazioni rispetto a questo standard.

Com’è la ISO/IEC 27701:2019

La ISO/IEC 27701:2019 inizia con 4 capitoli introduttivi (ambito, riferimenti normativi, termini e definizioni, descrizione della struttura del documento).

Il capitolo 5 riporta alcuni requisiti aggiuntivi rispetto alla ISO/IEC 27001. Infatti la ISO/IEC 27701 va usata, come dice anche il titolo, come estensione della ISO/IEC 27001: vanno applicati tutti i requisiti della ISO/IEC 27001 e altri aggiuntivi specifici per la privacy indicati proprio dalla ISO/IEC 27701.

Il capitolo 6 riporta, per alcuni controlli della ISO/IEC 27002, ulteriori considerazioni, specifiche per la privacy, in merito alla loro implementazione.

Il capitolo 7 riporta controlli aggiuntivi, oltre a quelli della ISO/IEC 27002, specifici per la privacy e applicabili ai titolari dei trattamenti di dati personali. Tali controlli sono presentati come quelli della ISO/IEC 27002, ossia con anche le linee guida per l’implementazione.

Il capitolo 8 è simile al capitolo 7, ma riporta i controlli per i responsabili del trattamento.

L’Appendice A riporta i soli controlli per i titolari (senza quindi le linee guida per l’implementazione), ripresi dal capitolo 7, allo stesso modo con cui sono riportati i controlli della ISO/IEC 27002 nell’Appendice A della ISO/IEC 27001. Un’organizzazione che intende certificarsi ISO/IEC 27701 come titolare dei trattamenti deve fare riferimento a questa Appendice quando sviluppa la propria Dichiarazione di applicabilità, oltre all’Appendice A della ISO/IEC 27001 per gli altri controlli.

L’Appendice B riporta i controlli per i responsabili, ripresi dal capitolo 8. Questa appendice va usata come la precedente.

Le appendici C, D ed E presentano una mappatura dei requisiti della ISO/IEC 27701 con quelli della ISO/IEC 29100, con il GDPR e con le ISO/IEC 27018 e ISO/IEC 29151.

L’ultima appendice approfondisce le modalità di utilizzo della ISO/IEC 27701 con la ISO/IEC 27001 e la ISO/IEC 27002.

La struttura della ISO/IEC 27701 è quindi molto diversa da quella delle altre norme per i sistemi di gestione (i cosiddetti “management system standard” o MSS), come la ISO 9001, che hanno il capitolo 4 dedicato al contesto e alle parti interessate, il 5 alla leadership, il 6 alla pianificazione e così via.

È possibile certificarsi ISO/IEC 27701 su un ambito uguale o più ristretto rispetto a un certificato ISO/IEC 27001. Gli organismi di certificazione devono essere conformi a quanto previsto dalla norma ISO/IEC 27006-2.

Come sarà la ISO/IEC 27701

La futura versione della ISO/IEC 27701 sarà molto simile a quella attuale e in particolare saranno riportati i requisiti:

  • al capitolo 4 quelli relativi alla comprensione del contesto e delle esigenze delle parti interessate, nonché quelli relativi alla determinazione dell’ambito;
  • al capitolo 5 quelli relativi alla leadership, alla politica per la privacy e ai ruoli e responsabilità;
  • al capitolo 6 quelli relativi alla pianificazione del sistema di gestione, inclusi quelli relativi alla valutazione e trattamento del rischio relativo all’efficacia del sistema di gestione e alla privacy e quelli relativi agli obiettivi per la privacy;
  • al capitolo 7 quelli relativi alle risorse, alle competenze, alla consapevolezza, alle comunicazioni e alla documentazione;
  • al capitolo 8 quelli relativi alle attività operative;
  • al capitolo 9 quelli relativi alle misurazioni, ai monitoraggi, agli audit interni e ai riesami di direzione;
  • al capitolo 10 quelli relativi al miglioramento continuo, alle non conformità e alle azioni correttive.

I requisiti non saranno più presentati come in precedenza, ossia chiedendo di applicare quelli presenti nella ISO/IEC 27001 e aggiungendo alcune estensioni. I requisiti saranno riportati completamente, esattamente come nelle altre norme.

Nelle appendici saranno poi riportati:

  • i controlli aggiuntivi, oltre a quelli della ISO/IEC 27002, specifici per la privacy e applicabili ai titolari e ai responsabili dei trattamenti di dati personali.
  • le linee guida per l’implementazione dei controlli aggiuntivi;
  • linee guida per l’implementazione aggiuntiva rispetto a quelle relative ad alcuni controlli della ISO/IEC 27002.

Le appendici potranno essere più di queste (potranno, per esempio, essere riprese dall’attuale ISO/IEC 27701 le appendici di mappatura).

Allo stato attuale, non è previsto che vengano riportati, come nella ISO/IEC 27001, i controlli della ISO/IEC 27002.

La dichiarazione di applicabilità dovrà riportare i “controlli necessari” e quelli aggiuntivi per la privacy. L’orientamento è al momento quello di non obbligare all’uso dei controlli della ISO/IEC 27002, però è anche vero che si vorrà mantenere un collegamento tra la ISO/IEC 27701 e la ISO/IEC 27001. Come questo sarà sviluppato sarà oggetto delle future discussioni.

Conclusioni

La ISO/IEC 27701 cambierà profondamente e, a differenza dell’attuale versione, permetterà di certificarsi rispetto a essa senza dover essere certificati anche ISO/IEC 27001.

Le attività di certificazione rispetto all’attuale ISO/IEC 27701 possono essere svolti da organismi di certificazione accreditati secondo i requisiti della ISO/IEC 27006-2. Anche quest’ultima norma dovrà quindi essere aggiornata. Al momento, però, i lavori di aggiornamento non sono ancora avviati.

La conclusione dei lavori per avere la nuova ISO/IEC 27701 è prevista per fine 2024. Non sarà però possibile certificarsi rispetto a essa senza che siano sviluppati (o aggiornati rispetto all’attuale ISO/IEC 27006-2) i requisiti di accreditamento. Per questi, però, non sono ancora stati avviati i lavori né è stata pianificata una data di conclusione dei lavori.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

DDL AI Meloni, terremoto per i servizi IT della PA? Il problema