Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.
Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII – Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (cfr. art. 42 – General Data Protection Regulation (EU) 2016/679).
Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.
La ISO/IEC 27701 è stata
progettata per essere utilizzata da tutte le organizzazioni, siano esse
titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC
27001, la norma è fondata su un approccio basato sul rischio in modo che
ciascuna organizzazione che voglia essere e mantenersi conforme affronti i
rischi specifici riguardanti il trattamento dei dati personali e la privacy a
cui è soggetta.
La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la
loro dimensione e il loro settore di attività.
La norma fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).
I requisiti della norma sono suddivisi in quattro capitoli:
La norma comprende inoltre i seguenti allegati:
Implementare un PIMS conforme alle ISO/IEC 27701 e ISO 27001 consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5).
L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali.