La ISO/IEC 27701 è la norma internazionale che estende un sistema di gestione della sicurezza delle informazioni ISO 27001 per includere, in modo strutturato e misurabile, la governance dei dati personali. In pratica, porta la privacy “by design e by default” dentro i processi IT e di sicurezza, così da dimostrare ai clienti e alle autorità che la tua organizzazione gestisce i dati personali con criteri chiari, controllati e verificabili.

Che cos’è la ISO/IEC 27701

La ISO/IEC 27701 definisce i requisiti per un Privacy Information Management System (PIMS) integrato con il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme a ISO/IEC 27001 e supportato dalle pratiche operative di ISO/IEC 27002. Introduce controlli e linee guida specifici per:

  • Chiarire i ruoli nel trattamento dei dati personali: titolare (PII Controller) e responsabile (PII Processor), inclusi i casi in cui l’organizzazione ricopre entrambi i ruoli.
  • Gestire il ciclo di vita dei dati personali: raccolta, basi giuridiche, minimizzazione, limitazione delle finalità, conservazione e cancellazione.
  • Gestire i diritti degli interessati: accesso, rettifica, cancellazione, portabilità, limitazione, opposizione.
  • Valutare e mitigare i rischi privacy, coordinandosi con la gestione del rischio informatico del SGSI.
  • Gestire i fornitori e i trasferimenti internazionali di dati, compresi accordi e clausole contrattuali.
  • Gestire incidenti e data breach con processi tracciabili e ruoli chiari.

La norma è applicabile a qualsiasi organizzazione che tratta dati personali, indipendentemente da settore, dimensione o modello di servizio (on-premise, cloud, SaaS, BPO, servizi gestiti). Non è una “certificazione GDPR” ai sensi degli articoli dedicati del Regolamento, ma uno standard riconosciuto dal mercato per dimostrare l’accountability privacy e l’integrazione con la sicurezza delle informazioni.

A chi serve e perché

  • Aziende già certificate ISO 27001 che vogliono estendere il perimetro ai dati personali per una governance end-to-end.
  • Fornitori IT, cloud e SaaS, MSP/MSSP, system integrator e software house che gestiscono dati dei clienti come responsabili del trattamento.
  • Operatori in settori ad alta intensità di dati (sanità, fintech, retail ed e-commerce, marketing e advertising, HR outsourcing, logistica, utility).
  • Organizzazioni che partecipano a gare o subiscono vendor due diligence stringenti, in cui è richiesto uno standard privacy verificabile.
  • Gruppi multinazionali che necessitano di un linguaggio comune per privacy e sicurezza lungo la supply chain.

In molti contesti, clienti enterprise e stazioni appaltanti chiedono prove documentate di gestione sicura e conforme dei dati personali. La certificazione ISO 27701 è una risposta concreta e comprensibile anche per funzioni non tecniche (Acquisti, Legale, Compliance, Data Protection Officer), perché rende la privacy parte del sistema di gestione già noto con ISO 27001.

A cosa serve, in pratica

  • Accountability dimostrabile: politiche, ruoli, processi e controlli privacy sono documentati, misurati e riesaminati.
  • DPIA e gestione dei rischi privacy: integrazione tra valutazioni d’impatto privacy e risk management del SGSI.
  • Processi per i diritti degli interessati: canali, tempi, responsabilità e tracciabilità delle richieste.
  • Gestione dei fornitori: criteri, valutazioni, clausole e monitoraggio degli outsourcer che trattano dati personali.
  • Gestione delle violazioni: identificazione, classificazione, contenimento, notifica interna ed esterna secondo procedure definite.
  • Privacy by design & by default: integrazione dei requisiti privacy nel ciclo di sviluppo software e nella gestione dei servizi IT.

Vantaggi concreti per il business

  • Fiducia dei clienti e del mercato: un riferimento internazionale che riduce dubbi e attriti nelle trattative.
  • Riduzione del rischio di non conformità: processi chiari e verificati aiutano a prevenire errori e a gestire gli incidenti in modo ordinato.
  • Velocità nelle due diligence: risposte più rapide ai questionari di sicurezza e privacy, con evidenze già pronte.
  • Allineamento privacy–security: meno duplicazioni, ruoli più chiari e investimenti più efficaci.
  • Accesso a gare e grandi clienti: spesso la certificazione ISO 27701 semplifica il superamento delle soglie minime di conformità richieste.
  • Cultura interna: formazione, metriche e audit periodici consolidano prassi virtuose e responsabilità diffuse.

Questi benefici si inseriscono nel quadro europeo e nazionale che punta a rafforzare la resilienza digitale delle organizzazioni. La Strategia Nazionale di Cybersicurezza, ad esempio, sottolinea l’importanza di una transizione digitale sicura e resiliente per PA e imprese italiane (ACN). A livello UE, la cooperazione internazionale e lo scambio di buone pratiche sostenuti da ENISA contribuiscono a standardizzare approcci efficaci tra attori pubblici e privati (ENISA).

Requisiti principali della ISO/IEC 27701

  • Ambito e ruoli: definizione dello scopo PIMS e chiarimento del perimetro di titolare e/o responsabile del trattamento.
  • Governance: politiche e responsabilità privacy, compresa l’interazione con il DPO (se presente) e con la sicurezza delle informazioni.
  • Gestione del rischio: metodologia coordinata tra rischi informatici e rischi privacy, con controlli e piani di trattamento coerenti.
  • Registro dei trattamenti: mappatura completa dei trattamenti e dei flussi di dati, inclusi fornitori e trasferimenti.
  • Basi giuridiche e finalità: criteri per la raccolta minima, l’uso lecito, la trasparenza e la limitazione della conservazione.
  • Diritti degli interessati: procedure, canali di comunicazione, tempistiche e tracciabilità.
  • Privacy by design & default: integrazione nelle pratiche di sviluppo, change management e gestione dei servizi.
  • Gestione dei fornitori: due diligence, clausole di protezione dei dati e monitoraggio della conformità.
  • Gestione incidenti e data breach: classificazione, risposta, notifica e apprendimento dall’evento.
  • Formazione e consapevolezza: programmi mirati per ruoli tecnici e non tecnici.
  • Monitoraggio e miglioramento: KPI privacy, audit interni, riesame della direzione e aggiornamento continuo.

I dettagli applicativi possono variare in base allo schema e all’organismo di certificazione coinvolto; per questo è utile concordare fin dall’inizio scopo, ruoli e criteri di evidenza attesi.

Iter di certificazione: come si procede

  1. Assessment iniziale e scoping: analisi dei trattamenti, dei ruoli (titolare/responsabile) e delle sovrapposizioni con ISO 27001.
  2. Pianificazione: piano di progetto con priorità, responsabilità, metriche e strumenti.
  3. Design e aggiornamento del PIMS: politiche, procedure, registri, controlli e integrazione con processi IT e sicurezza.
  4. Implementazione e raccolta evidenze: esecuzione operativa, registri aggiornati, formazione, test.
  5. Audit interno e riesame della direzione: verifica di primo livello e allineamento strategico.
  6. Audit di certificazione: tipicamente in due fasi; l’organismo verifica la conformità documentale e operativa.
  7. Sorveglianze periodiche: audit annuali e rinnovo triennale, in linea con le prassi dei sistemi di gestione.

Tempi: quanto serve davvero

Se l’organizzazione ha già un ISO 27001 maturo, l’estensione PIMS richiede in genere un orizzonte di poche settimane o alcuni mesi, in funzione di scopo, numero di trattamenti e ruolo (titolare, responsabile o entrambi). Se il SGSI è da costruire o consolidare, i tempi si allungano perché sicurezza e privacy vanno sviluppate in parallelo.

Costi: i fattori che incidono

  • Scopo e complessità: numero di sedi, processi, applicazioni e trattamenti coperti dal PIMS.
  • Ruoli e volumi di dati: essere titolare, responsabile o entrambi cambia requisiti ed evidenze richieste.
  • Maturità iniziale: distanza dallo stato attuale a quello richiesto dalla ISO 27701.
  • Audit days e schema multi-sito: influenzano le tariffe dell’organismo e l’impegno interno.
  • Costi indiretti: tempo del personale, formazione, eventuali strumenti (es. data mapping, ticketing per diritti, gestione DPIA).

Per un quadro economico realistico è utile definire con precisione il perimetro e farsi indicare dall’organismo l’approccio proposto per scopo e giornate di verifica.

Documenti e evidenze utili

  • Politica privacy e modello di governance integrato con la sicurezza (ruoli, responsabilità, deleghe).
  • Registro dei trattamenti e mappa dei flussi di dati (interni, fornitori, trasferimenti extra-UE se presenti).
  • Metodologia di valutazione dei rischi privacy e modelli di DPIA.
  • Privacy by design: criteri nel ciclo di sviluppo, change management, test e rilascio software/servizi.
  • Procedure per esercizio dei diritti degli interessati e tracciamento delle richieste.
  • Procedure per incidenti e data breach, con registri e prove di gestione.
  • Accordi con i fornitori: nomine a responsabile, clausole privacy, valutazioni e monitoraggi.
  • Politiche di classificazione dei dati, conservazione e cancellazione sicura.
  • Formazione e consapevolezza: piani, registri presenze, materiali.
  • Audit interni, KPI privacy, riesami della direzione e piano di miglioramento.

Errori da evitare

  • Trattare ISO 27701 come “certificazione GDPR”: non lo è; è uno standard di gestione che supporta l’accountability.
  • Scopo troppo ampio o poco chiaro: meglio partire con un perimetro coerente con servizi e trattamenti critici.
  • Non definire correttamente i ruoli tra titolare e responsabile (e le responsabilità contrattuali).
  • Non mappare i flussi di dati e i trasferimenti internazionali, perdendo il controllo sulla catena dei fornitori.
  • Non integrare privacy e sicurezza: duplicare processi crea incoerenze e fatica organizzativa.
  • Trascurare la formazione: gli errori umani sono tra le principali cause di incidenti.
  • Considerarla una checklist: la logica è quella del miglioramento continuo, con metriche e riesami.

Domande pratiche più frequenti (FAQ)

È obbligatoria o facoltativa?

La certificazione ISO 27701 è volontaria. Può però diventare di fatto necessaria per accedere a certe gare, contratti o filiere che la richiedono come requisito o forte preferenza.

Serve per partecipare a gare o lavorare con grandi clienti?

Spesso sì: la certificazione ISO 27701 velocizza le due diligence e aiuta a soddisfare requisiti minimi di conformità privacy e sicurezza. Verifica comunque le richieste specifiche del bando o del cliente.

Quanto tempo serve per ottenerla?

Se l’organizzazione ha già una ISO 27001 solida, l’estensione PIMS richiede in genere da poche settimane a alcuni mesi. Dipende da scopo, numero di trattamenti, ruoli ricoperti e maturità iniziale.

Quanto costa?

Non esiste un costo standard. Incidono scopo, complessità, multi-sito, maturità, giornate di audit e impegno interno. È consigliabile definire il perimetro e chiedere un’offerta basata su evidenze preliminari.

Quali documenti devo avere?

Registro dei trattamenti, politiche e procedure privacy integrate con la sicurezza, metodologia di rischio e DPIA, gestione diritti e data breach, accordi con fornitori, formazione, audit interni e KPI. L’elenco puntuale dipende da scopo e ruoli.

La mia azienda è troppo piccola per ottenerla?

No. La ISO 27701 è dimensionabile: l’importante è che processi e controlli siano proporzionati ai trattamenti e ai rischi. Anche PMI e startup possono certificarsi con scopi mirati.

Qual è la differenza rispetto a ISO 27001?

ISO 27001 si focalizza sulla sicurezza delle informazioni nel complesso. ISO 27701 aggiunge controlli e requisiti specifici per i dati personali e per l’accountability privacy, mantenendo l’integrazione con il SGSI.

E rispetto a ISO 27018 o ad altri standard privacy?

ISO 27018 è un codice di pratica per la protezione dei dati personali in ambiente cloud. ISO 27701 è più ampia, copre governance e processi organizzativi come PIMS integrato a 27001. Esistono anche altri standard e schemi, ma l’adozione dipende da settore, servizi e richieste dei clienti.

La certificazione ISO 27701 equivale a una conformità legale al GDPR?

No. Non sostituisce la valutazione legale né costituisce una certificazione ai sensi delle specifiche previsioni del GDPR. È però una prova forte e credibile di accountability e buone pratiche, utile in contesti contrattuali e di controllo.

Come si integra con il DPO?

La norma valorizza il ruolo di controllo e consulenza del DPO, prevedendo interazioni strutturate con governance, audit, formazione, DPIA e gestione incidenti.

Quali impatti sul business e sulla reputazione?

Migliora la credibilità verso clienti e partner, supporta l’accesso a mercati regolati o ad alta sensibilità, riduce tempi e incertezze nelle trattative e rende più efficace la risposta a incidenti.

Conclusione: portare la privacy dentro il linguaggio del business

La certificazione ISO 27701 aiuta a trasformare la privacy da adempimento percepito come legale a capacità operativa misurabile, integrata con la sicurezza informatica e leggibile dal business. Un PIMS ben progettato riduce rischi, accelera le vendite enterprise e rende più fluido il dialogo con clienti, auditor e autorità.

Vuoi capire tempi, perimetro e investimento più adatti al tuo caso? Parlando con la chatbox di Evidy, l’utente può ottenere un preventivo preciso per il tipo di servizio di cui ha bisogno, con la possibilità di ricevere un range indicativo di importi e anche un preventivo dell’ente.