Come si certifica la privacy con la ISO/IEC 27701
La ISO/IEC 27701 è la norma che certifica come un'organizzazione gestisce i dati personali. Non promette che una violazione non avverrà mai, ma dimostra che esiste un sistema di gestione delle informazioni sulla privacy (PIMS): un modo ordinato di sapere quali dati personali tratti, con quale base giuridica, chi può accedervi e cosa succede se qualcosa va storto. È lo strumento con cui un'azienda passa dal "rispettiamo il GDPR" detto a parole al poterlo dimostrare con evidenze davanti a clienti, autorità e partner.
L'edizione in vigore è la ISO/IEC 27701:2025. La novità più importante è che ora è una norma standalone: la prima versione (2019) era un'estensione che si poteva implementare solo sopra un sistema ISO/IEC 27001 già in piedi, mentre la 2025 può essere adottata anche per conto proprio. Le due restano cugine strette, perché proteggere le informazioni e proteggere i dati personali sono lo stesso lavoro visto da due angoli, ma oggi non sei obbligato a partire dalla sicurezza delle informazioni per certificare la privacy.
Cosa chiede davvero la norma
Il cuore della ISO/IEC 27701 è la distinzione tra i due ruoli che il GDPR conosce bene: il titolare del trattamento (chi decide finalità e mezzi) e il responsabile (chi tratta i dati per conto del titolare). La norma chiede di capire in quale ruolo ti trovi, spesso in entrambi a seconda del dato, e di adottare i controlli adeguati a ciascuno: informative, gestione del consenso, risposta alle richieste degli interessati, contratti con i fornitori che trattano dati, gestione delle violazioni.
Su questa base si innesta la logica di sempre: si valutano i rischi per i diritti e le libertà delle persone, si scelgono le misure per ridurli e si controlla nel tempo che funzionino. Chi conosce il GDPR ritrova concetti familiari, dalla valutazione d'impatto al registro dei trattamenti, ma calati dentro un sistema di gestione misurabile e verificabile da un terzo.
Come ci si certifica, passo dopo passo
- Gap analysis: si fotografa la distanza tra come tratti i dati personali oggi e quello che la norma chiede. Spesso emerge che il GDPR è gestito a pezzi, senza un quadro unico.
- Mappa dei trattamenti e dei ruoli: si individuano i trattamenti, si stabilisce per ognuno se sei titolare o responsabile e si definiscono basi giuridiche e responsabilità.
- Valutazione del rischio e controlli privacy: si valutano i rischi per gli interessati e si mettono in pratica i controlli previsti dalla norma, dalle informative alla gestione delle richieste degli interessati ai contratti con i fornitori.
- Audit interno e riesame: un controllo in casa che anticipa quello esterno, seguito dal riesame della direzione.
- Verifica in due fasi: un organismo di certificazione accreditato conduce lo Stage 1 documentale e lo Stage 2 sul campo, dove osserva i controlli all'opera e le evidenze reali.
Superata la verifica, il certificato dura tre anni, con sorveglianze annuali e un rinnovo al termine del triennio. Un avvertimento di attualità: poiché la 2025 è recente, l'accreditamento degli organismi per la nuova edizione è in transizione. Conviene verificare che l'organismo a cui ti rivolgi sia accreditato per l'edizione vigente, così il certificato è pienamente spendibile.
Quanto tempo serve
Dipende soprattutto da quanto sei già avanti con il GDPR. Un'organizzazione che ha registro dei trattamenti, informative aggiornate e contratti con i responsabili già in ordine lavora soprattutto sulla formalizzazione e arriva all'audit in poche settimane o pochi mesi. Chi ha gestito la privacy in modo frammentario, magari delegandola a un singolo adempimento, ha davanti un percorso più lungo, perché la parte impegnativa non è scrivere le policy ma far funzionare davvero i processi e raccogliere le evidenze.
I vantaggi concreti, oltre al bollino
Il primo vantaggio è dimostrare la conformità al GDPR senza doverlo raccontare ogni volta da capo: il certificato è una scorciatoia di fiducia davanti a clienti e partner, soprattutto quando tratti dati per conto loro e diventi un fornitore che deve dare garanzie. In molte gare e nei rapporti di filiera, poter esibire una certificazione privacy accorcia le verifiche e a volte è la condizione per entrare.
Funziona come l'inventario di una dispensa: finché nessuno controlla cosa c'è davvero sugli scaffali e con quale scadenza, si va a memoria e ci si accorge dei problemi quando è tardi; mappare i trattamenti costringe a sapere quali dati personali esistono, dove stanno e chi li tocca, prima che sia una violazione o un reclamo al Garante a rivelarlo.
Un solo sistema, più certificazioni
La ISO/IEC 27701 condivide la struttura di alto livello (Annex SL) con le altre norme di sistema, e l'integrazione con la ISO/IEC 27001 (sicurezza delle informazioni) è la più naturale di tutte: chi ha già un sistema di gestione per la sicurezza delle informazioni aggiunge la privacy riusando gran parte del lavoro e affrontando un unico audit integrato. Si lega bene anche alla ISO/IEC 20000-1 (gestione dei servizi IT), perché molti trattamenti passano proprio dai servizi digitali. Meno giornate di verifica, documentazione condivisa e una sola logica di gestione invece di sistemi paralleli.
Domande frequenti
Sostituisce il GDPR? No. Il GDPR è una legge che vale comunque; la ISO/IEC 27701 è uno strumento volontario per gestirne e dimostrarne il rispetto in modo strutturato. Non rende automaticamente conformi, ma rende la conformità verificabile.
Devo avere prima la ISO/IEC 27001? Con l'edizione 2025 non è più obbligatorio: la norma è standalone. Resta vero che le due si rafforzano a vicenda e spesso si certificano insieme.
Quanto dura il certificato? Tre anni, con sorveglianze annuali e rinnovo al termine del ciclo.
Accreditato o non accreditato? Solo un certificato emesso da un organismo accreditato per l'edizione vigente è realmente riconosciuto. Dato che la 2025 è recente, è il primo controllo da fare prima di firmare.
Prima di muoverti conviene capire a che punto sei davvero. La checklist di autovalutazione ISO/IEC 27701 qui sotto ripercorre i requisiti punto per punto, dalla mappa dei trattamenti ai controlli privacy: spunti ciò che hai già e vedi nero su bianco cosa manca prima di chiamare un organismo.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Guide alle norme integrabili
Approfondisci gli schemi con cui questa norma si integra: dove condividono la struttura HLS (Annex SL), certificarli insieme significa un solo sistema documentale e un audit integrato — meno giornate e meno costi.
ISO/IEC 27001 — Sistema di gestione per la sicurezza delle informazioni · HLS ISO/IEC 20000-1 — Sistema di gestione dei servizi IT · HLSArticoli Correlati
ISO/IEC 27701: estensione privacy a ISO 27001 per GDPR by design
Guida pratica alla certificazione ISO 27701: come integrare privacy e sicurezza (ISO 27001) per dimostrare accountability GDPR e accelerare le due diligenc
Certificazione ISO/IEC 27001: come funziona e perché la chiedono tutti
Cos'è la ISO/IEC 27001:2022, come si ottiene la certificazione del SGSI passo dopo passo, quanto tempo serve, i vantaggi concreti e il legame con NIS2 e DORA. Guida evergreen, indipendente e senza markette.
ISO 37001:2025: la guida alla certificazione anticorruzione
Cos'è la ISO 37001:2025, cosa chiede il sistema di gestione anticorruzione, come ci si certifica passo dopo passo, quanto tempo serve, perché conviene in gare e rapporti con la PA, e come si integra con ISO 37301, ISO 9001 e ISO/IEC 27001.