certificazioni

ISO/IEC 27701 sui sistemi di gestione per la privacy: com’è e come sarà

Home Sicurezza digitale
Indirizzo copiato

Entro il 2025, lo standard ISO/IEC 27701, che stabilisce i requisiti di un sistema di gestione per la privacy, sarà ristrutturato. La futura versione cambierà profondamente e permetterà di certificarsi rispetto a essa senza dover essere certificati anche ISO/IEC 27001. Ecco com’è e com’è previsto che sarà

Pubblicato il 30 nov 2023
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

Cybersecurity resilience act

ISO/IEC 27701, dal titolo “Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines”, è uno standard che stabilisce i requisiti di un sistema di gestione per la privacy (Privacy information management system, PIMS).

L’edizione in vigore è del 2019. Essa si appoggia sulla ISO/IEC 27001 sui sistemi di gestione per la sicurezza delle informazioni (information security management system, ISMS).

Sicurezza delle informazioni: come usare la nuova ISO/IEC 27001:2022

A causa dell’aggiornamento dei controlli di sicurezza della ISO/IEC 27001, era prevista per metà 2024 la pubblicazione di un aggiornamento della ISO/IEC 27701, limitato al riallineamento con i nuovi controlli.

L’ISO Central Secretariat ha invece chiesto di ristrutturare lo standard come gli altri sui sistemi di gestione (p.e. ISO 9001, ISO 14001 e ISO/IEC 27001) e sarà quindi pubblicato non prima del 2025.

Ricordiamo allora brevemente com’è la ISO/IEC 27701 e come è previsto che sarà per poi fornire alcuni spunti sul futuro delle certificazioni rispetto a questo standard.

Com’è la ISO/IEC 27701:2019

La ISO/IEC 27701:2019 inizia con 4 capitoli introduttivi (ambito, riferimenti normativi, termini e definizioni, descrizione della struttura del documento).

Il capitolo 5 riporta alcuni requisiti aggiuntivi rispetto alla ISO/IEC 27001. Infatti la ISO/IEC 27701 va usata, come dice anche il titolo, come estensione della ISO/IEC 27001: vanno applicati tutti i requisiti della ISO/IEC 27001 e altri aggiuntivi specifici per la privacy indicati proprio dalla ISO/IEC 27701.

Il capitolo 6 riporta, per alcuni controlli della ISO/IEC 27002, ulteriori considerazioni, specifiche per la privacy, in merito alla loro implementazione.

Il capitolo 7 riporta controlli aggiuntivi, oltre a quelli della ISO/IEC 27002, specifici per la privacy e applicabili ai titolari dei trattamenti di dati personali. Tali controlli sono presentati come quelli della ISO/IEC 27002, ossia con anche le linee guida per l’implementazione.

Il capitolo 8 è simile al capitolo 7, ma riporta i controlli per i responsabili del trattamento.

L’Appendice A riporta i soli controlli per i titolari (senza quindi le linee guida per l’implementazione), ripresi dal capitolo 7, allo stesso modo con cui sono riportati i controlli della ISO/IEC 27002 nell’Appendice A della ISO/IEC 27001. Un’organizzazione che intende certificarsi ISO/IEC 27701 come titolare dei trattamenti deve fare riferimento a questa Appendice quando sviluppa la propria Dichiarazione di applicabilità, oltre all’Appendice A della ISO/IEC 27001 per gli altri controlli.

L’Appendice B riporta i controlli per i responsabili, ripresi dal capitolo 8. Questa appendice va usata come la precedente.

Le appendici C, D ed E presentano una mappatura dei requisiti della ISO/IEC 27701 con quelli della ISO/IEC 29100, con il GDPR e con le ISO/IEC 27018 e ISO/IEC 29151.

L’ultima appendice approfondisce le modalità di utilizzo della ISO/IEC 27701 con la ISO/IEC 27001 e la ISO/IEC 27002.

La struttura della ISO/IEC 27701 è quindi molto diversa da quella delle altre norme per i sistemi di gestione (i cosiddetti “management system standard” o MSS), come la ISO 9001, che hanno il capitolo 4 dedicato al contesto e alle parti interessate, il 5 alla leadership, il 6 alla pianificazione e così via.

È possibile certificarsi ISO/IEC 27701 su un ambito uguale o più ristretto rispetto a un certificato ISO/IEC 27001. Gli organismi di certificazione devono essere conformi a quanto previsto dalla norma ISO/IEC 27006-2.

Come sarà la ISO/IEC 27701

La futura versione della ISO/IEC 27701 sarà molto simile a quella attuale e in particolare saranno riportati i requisiti:

  • al capitolo 4 quelli relativi alla comprensione del contesto e delle esigenze delle parti interessate, nonché quelli relativi alla determinazione dell’ambito;
  • al capitolo 5 quelli relativi alla leadership, alla politica per la privacy e ai ruoli e responsabilità;
  • al capitolo 6 quelli relativi alla pianificazione del sistema di gestione, inclusi quelli relativi alla valutazione e trattamento del rischio relativo all’efficacia del sistema di gestione e alla privacy e quelli relativi agli obiettivi per la privacy;
  • al capitolo 7 quelli relativi alle risorse, alle competenze, alla consapevolezza, alle comunicazioni e alla documentazione;
  • al capitolo 8 quelli relativi alle attività operative;
  • al capitolo 9 quelli relativi alle misurazioni, ai monitoraggi, agli audit interni e ai riesami di direzione;
  • al capitolo 10 quelli relativi al miglioramento continuo, alle non conformità e alle azioni correttive.

I requisiti non saranno più presentati come in precedenza, ossia chiedendo di applicare quelli presenti nella ISO/IEC 27001 e aggiungendo alcune estensioni. I requisiti saranno riportati completamente, esattamente come nelle altre norme.

Nelle appendici saranno poi riportati:

  • i controlli aggiuntivi, oltre a quelli della ISO/IEC 27002, specifici per la privacy e applicabili ai titolari e ai responsabili dei trattamenti di dati personali.
  • le linee guida per l’implementazione dei controlli aggiuntivi;
  • linee guida per l’implementazione aggiuntiva rispetto a quelle relative ad alcuni controlli della ISO/IEC 27002.

Le appendici potranno essere più di queste (potranno, per esempio, essere riprese dall’attuale ISO/IEC 27701 le appendici di mappatura).

Allo stato attuale, non è previsto che vengano riportati, come nella ISO/IEC 27001, i controlli della ISO/IEC 27002.

La dichiarazione di applicabilità dovrà riportare i “controlli necessari” e quelli aggiuntivi per la privacy. L’orientamento è al momento quello di non obbligare all’uso dei controlli della ISO/IEC 27002, però è anche vero che si vorrà mantenere un collegamento tra la ISO/IEC 27701 e la ISO/IEC 27001. Come questo sarà sviluppato sarà oggetto delle future discussioni.

Conclusioni

La ISO/IEC 27701 cambierà profondamente e, a differenza dell’attuale versione, permetterà di certificarsi rispetto a essa senza dover essere certificati anche ISO/IEC 27001.

Le attività di certificazione rispetto all’attuale ISO/IEC 27701 possono essere svolti da organismi di certificazione accreditati secondo i requisiti della ISO/IEC 27006-2. Anche quest’ultima norma dovrà quindi essere aggiornata. Al momento, però, i lavori di aggiornamento non sono ancora avviati.

La conclusione dei lavori per avere la nuova ISO/IEC 27701 è prevista per fine 2024. Non sarà però possibile certificarsi rispetto a essa senza che siano sviluppati (o aggiornati rispetto all’attuale ISO/IEC 27006-2) i requisiti di accreditamento. Per questi, però, non sono ancora stati avviati i lavori né è stata pianificata una data di conclusione dei lavori.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    Sorveglianza umana dell'AI: cos'è e perché è centrale nell'AI ACT

    21 Mar 2024

    di Federico Cabitza e Silvia Stefanelli

    Condividi

Prossimo

Sorveglianza umana dell'AI: cos'è e perché è centrale nell'AI ACT

Articolo 1 di 2