Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

trattamento dati

Sistemi di gestione privacy: guida alla ISO/IEC 27701 aggiornata

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La ISO/IEC 27701:2025 definisce i requisiti per i sistemi di gestione della privacy. La seconda edizione, pubblicata a ottobre 2025, può essere implementata indipendentemente dalla ISO/IEC 27001, introducendo controlli specifici per titolari e responsabili dei trattamenti

Pubblicato il 15 dic 2025
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

privacy digital omnibus; convenzioni Consip; ISO/IEC 27701

La ISO/IEC 27701 è il punto di riferimento internazionale per i sistemi di gestione della privacy, fornendo alle organizzazioni un framework strutturato per il trattamento dei dati personali.

ISO/IEC 27701 sui sistemi di gestione per la privacy: com’è e come sarà

La seconda edizione dello standard e l’autonomia dalla ISO 27001

A ottobre 2025 è stata pubblicata la seconda edizione della ISO/IEC 27701, con il nuovo titolo “Privacy information management systems — Requirements and guidance“. Esso è uno standard che stabilisce i requisiti di un sistema di gestione per la privacy (Privacy information management system, PIMS) e sostituisce l’edizione del 2019.

La precedente edizione, del 2019, richiedeva l’implementazione di un sistema di gestione per la sicurezza delle informazioni (information security management system, ISMS) secondo la ISO/IEC 27001. L’attuale versione può essere implementata indipendentemente dalla ISO/IEC 27001, anche se i due sistemi di gestione possono sempre essere integrati.

La struttura basata su HLS e i dieci capitoli dello standard

Struttura basata sull’HLS

La ISO/IEC 27701:2025 è basata sull’HLS, come tutte le norme relative ai sistemi di gestione pubblicate dall’ISO dal 2013. I requisiti della ISO/IEC 27701 sono molto simili a quelli della ISO/IEC 27001; quasi sempre, la differenza è nella parola «privacy» che sostituisce “sicurezza delle informazioni”.

La precedente edizione non riportava completamente i requisiti, ma rimandava a quelli della ISO/IEC 27001 richiedendo di applicarli per la privacy e aggiungeva solo alcune specifiche integrazioni.

I primi tre capitoli: ambito, riferimenti normativi e definizioni

La ISO/IEC 27701 riporta i requisiti suddivisi in 10 capitoli come segue.

Capitolo 1 e ambito di applicazione

Riporta l’ambito di applicazione della norma, che è applicabile a tutte le organizzazioni.

Specifica che non è possibile escludere i requisiti ed è possibile solo escludere controlli dell’Annex A.

Capitolo 2 e riferimenti normativi

L’unico riferimento normativo segnalato è la ISO/IEC 29100, dal titolo “Privacy framework“, che risulta un documento centrale rispetto allo standard.

Capitolo 3 e termini, definizioni e abbreviazioni

Sono riportate le definizioni relative al sistema di gestione e previste dall’HLS (cos’è un sistema di gestione, cos’è un obiettivo, ecc.) e quelle specialistiche.

Non è definito cosa si intende come personally identifiable information (PII), ossia il dato personale, né come principal, ossia l’interessato.

Interessante la definizione di “cliente“, che può essere un titolare cliente di un titolare (p.e. contitolare), un titolare cliente di un responsabile o un responsabile cliente di un (sub)responsabile. Il caso di interessati clienti dell’organizzazione non è considerato.

Contesto, leadership e pianificazione del sistema di gestione

Capitolo 4 e contesto

È richiesto di comprendere il contesto e le esigenze delle parti interessate, nonché di determinare l’ambito.

Va specificato se l’ambito di applicazione del PIMS riguarda i trattamenti svolti come titolare (anche contitolare) o responsabile o ambedue.

Una nota fornisce esempi di fattori interni ed esterni specifici per la privacy (applicable privacy legislation, regulations, judicial decisions, organizational context, governance, policies and procedures, administrative decisions, contractual requirements) e di parti interessate (customers, supervisory authorities, other PII controllers, PII processors and their subcontractors). Inoltre, è specificato, sempre in una nota, che tra i requisiti vanno considerati quelli legali, regolamentari, riportati nei contratti o auto-imposti dalla stessa organizzazione sotto forma di obiettivi.

La ISO/IEC 27701 include (come le altre norme ISO dal 2024) la necessità di considerare anche i cambiamenti climatici, se pertinenti.

Capitolo 5 e leadership

Il capitolo 5 riporta i requisiti relativi alla leadership, alla politica per la privacy e ai ruoli e responsabilità.

Capitolo 6 e pianificazione

Il capitolo 6 riporta i requisiti relativi alla pianificazione del sistema di gestione, inclusi quelli relativi alla valutazione e trattamento del rischio relativo all’efficacia del sistema di gestione e alla privacy e quelli relativi agli obiettivi per la privacy.

I requisiti relativi alla valutazione e al trattamento del rischio sono sostanzialmente uguali a quelli presenti nella ISO/IEC 27001, ma fanno ovviamente riferimento alla privacy e non alla sicurezza delle informazioni.

La dichiarazione di applicabilità deve fare riferimento ai controlli in Annex A.1, A.2 e A.3.

Su questi argomenti, la norma è pasticciata, separando i controlli privacy da quelli di sicurezza delle informazioni e utilizzando malamente i controlli della ISO/IEC 27001. Questo aspetto sarà affrontato nel seguito.

Processi di supporto, attività operative e miglioramento continuo

Capitolo 7 e processi di supporto

Sono riportati i requisiti previsti dall’HLS per tutti gli standard ISO sui sistemi di gestione, ossia quelli relativi alle risorse, alle competenze, alla consapevolezza, alle comunicazioni e alla documentazione.

Capitolo 8 e attività operative

Come per la ISO/IEC 27001, il capitolo 8 riporta sinteticamente il requisito di applicare quanto pianificato, di valutare e trattare il rischio relativo alla privacy.

Capitolo 9 e misurazioni e monitoraggi

Riprendendo quasi alla lettera il testo dell’HLS, il capitolo 9 riporta i requisiti relativi alle misurazioni, ai monitoraggi, agli audit interni e ai riesami di direzione.

Capitolo 10 e miglioramento continuo

Il capitolo 10 riporta i requisiti relativi al miglioramento continuo, alle non conformità e alle azioni correttive.

Capitolo 11 e appendici

La ISO/IEC 27701 ha un (inutile) capitolo 11, dal titolo “Further information on annexes” che riporta sinteticamente il contenuto delle appendici informative C, D, E ed F. Tali appendici hanno peraltro carattere “informativo” a differenza della A e della B che sono “normative” perché richiamate dai requisiti presenti nei capitoli dal 4 al 10.

La separazione tra privacy e sicurezza e il programma di sicurezza

La ISO/IEC 27701 purtroppo non considera che il mantenimento di riservatezza, integrità e disponibilità dei dati personali fa parte della protezione dei dati personali e, quindi, della privacy. In qualche modo separa la privacy intesa come rispetto della normativa e dei diritti degli interessati e la sicurezza delle informazioni intesa come misure tecniche e organizzative (la norma riesce, ahinoi, anche a distinguere tra valutazione del rischio relativo alla privacy e valutazione del rischio relativo alla sicurezza delle informazioni).

Per questo introduce il concetto di “information security programme” per indicare il piano di trattamento del rischio relativo al mantenimento di riservatezza, integrità e disponibilità dei dati personali.

Piano di trattamento del rischio relativo alla privacy e programma di sicurezza delle informazioni potrebbero (e, a rigore, dovrebbero) essere integrati in un unico piano di trattamento del rischio con i controlli privacy (per esempio quelli riportati nelle tabelle A.1 e A.2) e quelli relativi alla sicurezza delle informazioni (per esempio quelli in tabella A.3 e ulteriori, come specificato nel seguito).

La dichiarazione di applicabilità e i controlli necessari

A questo proposito, come la ISO/IEC 27001, la norma richiede di compilare una Dichiarazione di applicabilità con i controlli necessari.

È bene ricordare che la Dichiarazione di applicabilità non deve necessariamente riportare i controlli presenti in Appendice A, ma quelli necessari, che possono quindi non seguire quanto previsto dall’Appendice A. Dall’Appendice A vanno citati obbligatoriamente solo quelli esclusi. Va però detto che, per semplificare le attività di verifica e dimostrare, come richiesto dal punto 6.1.3 d), di aver confrontato i controlli scelti con quelli in Appendice A e verificato di non averne omessi, è solitamente ritenuto più pratico usare direttamente i controlli in Appendice A ed eventualmente integrarli con altri.

Questo punto è importante perché i controlli in Appendice A, in particolare quelli di tabella A.3, non sono esaustivi né coerenti. Gli utilizzatori dello standard non possono quindi riportare nella Dichiarazione di applicabilità solo quelli in Appendice A (in quanto ce ne sono sicuramente altri necessari), ma ne devono aggiungere altri, come specificato nel seguito.

Per ovviare (malamente) a questo problema, lo standard ha introdotto elencato alcuni titoli, ripresi dalla superata ISO/IEC 27001:2013, di categorie di controlli di sicurezza. Una soluzione è quella di usare direttamente i controlli della ISO/IEC 27001:2022, esaustivi e coerenti e che includono anche quelli della tabella A.3. Del resto la nota 2 del requisito relativo al Piano di trattamento del rischio specifica tale possibilità, facendo riferimento alla ISO/IEC 27002.

I controlli per titolari e responsabili nelle tabelle A.1 e A.2

Le tabelle A.1 e A.2 riportano rispettivamente i controlli per i titolari (31) e i responsabili (18) dei trattamenti di dati personali.

Essi sono gli stessi, con qualche correzione, di quelli presenti nella precedente edizione.

Le tabelle vanno usate per confrontare i controlli ritenuti necessari per trattare il rischio relativo alla privacy e verificare di non averne omessi. Ovviamente il ruolo di titolare o di responsabile o ambedue va valutato in relazione al campo di applicazione del sistema di gestione.

I 29 controlli della tabella A.3 e le criticità della selezione

La norma, in Annex A.3, riporta una selezione di 29 controlli della ISO/IEC 27001. La selezione è determinata dal fatto che nella precedente versione della ISO/IEC 27701 per questi controlli erano state specificate “Linee guida per l’implementazione” ulteriori a quelle già presenti nella ISO/IEC 27002. Non si tratta quindi, incredibilmente, di una scelta basata su esaustività e coerenza.

Va segnalato che, tra le linee guida aggiuntive, vi sono quelle di nominare un DPO se necessario e di prevedere una procedura per la notifica delle violazioni dei dati personali, oltre a quella di gestione degli incidenti.

Come detto, la lista non è né esaustiva né coerente e mancano numerosi controlli, previsti dalla ISO/IEC 27001:2022, tra cui quelli relativi a:

  • inventario degli asset;
  • uso accettabile degli asset;
  • restituzione degli asset;
  • politica di controllo degli accessi, uso delle informazioni di autenticazione, diritti di accesso privilegiato, restrizione sugli accessi;
  • continuità operativa;
  • responsabilità relative all’uscita o al cambio di impiego;
  • segnalazione degli eventi;
  • sicurezza fisica;
  • antimalware;
  • gestione vulnerabilità;
  • gestione delle configurazioni;
  • cancellazione e mascheramento delle informazioni;
  • monitoraggio;
  • installazione dei software;
  • sicurezza di rete;
  • gestione dei cambiamenti.

Linee guida implementative e riferimenti incrociati con altri standard

L’Appendice B riporta le linee guida per l’implementazione dei controlli in appendice A.

Per i controlli della tabella A.3 sono specificate linee guida ulteriori, specifiche per la privacy, a quelle già presenti nella ISO/IEC 27002. Confermando l’impostazione pasticciata, però, questo non è dichiarato.

Per esempio, per il controllo 3.22 sugli endpoint degli utenti, le linee guida si riducono a una sola riga e ricordano di assicurare che l’uso di endpoint da parte degli utenti non porti alla compromissione di dati personali. La ISO/IEC 27002 riporta 2 pagine di linee guida.

Appendici C, D, E ed F

Le ulteriori appendici riportano tabelle di riferimenti incrociati dei requisiti e dei controlli della ISO/IEC 27701 con la ISO/IEC 29100, il GDPR, la ISO/IEC 27018, la ISO/IEC 29151 e la precedente versione della ISO/IEC 27701.

Certificazione secondo ISO 27706 e i limiti rispetto al GDPR

La ISO/IEC 27701 è una norma di requisiti per un sistema di gestione e quindi le attività di certificazione devono essere condotte secondo la norma ISO/IEC 27706 (anch’essa pubblicata a ottobre 2025), basata sulla ISO/IEC 17021.

La ISO/IEC 27706 non si basata sulla ISO/IEC 17065 e quindi la ISO/IEC 27701 non può essere usata come meccanismo di certificazione ai sensi degli articoli 42 e 43 del GDPR.

Ringraziamenti

Ringrazio Monica Perego per aver riletto questo articolo e proposto numerosi e validi miglioramenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Cesare Gallotti
Consulente su sicurezza delle informazioni, qualità e privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
  • deepfake (1) Deepfake e diritto d'autore

  • la guida

    Difendersi dai deepfake: rischi, tecniche di verifica e prevenzione

    02 Apr 2025

    di Francesca Gaudino e Leonardo Lazzaro

    Condividi
  • codice condotta telemarketing obblighi call back e privacy

  • compliance

    Telemarketing: regole da seguire per evitare sanzioni nel "call back"

    24 Giu 2025

    di Sergio Aracu

    Condividi
0
Lascia un commento, la tua opinione conta.x