Tre nuovi standard per rafforzare privacy e sicurezza

Dati, identità digitali e processi informativi sono attualmente al centro di ogni attività. Per questo è necessario avere riferimenti tecnici autorevoli.

Tre nuovi standard fondamentali per la privacy, la cancellazione dei dati personali e la certificazione dei sistemi di gestione della privacy sono stati recepiti a livello italiano, entrando a far parte della serie UNI CEI ISO/IEC 27000 e contribuendo così ad arricchire la gamma di strumenti chiari, verificabili e riconosciuti ad uso delle organizzazioni per gestire i dati personali in modo responsabile, sicuro e conforme.

La prima norma: la UNI CEI EN ISO/IEC 27701:2025

Il documento rappresenta un'estensione della UNI CEI ISO/IEC 27001 e della UNI CEI ISO/IEC 27002 che aggiunge requisiti e linee guida specifiche per la gestione delle informazioni personali (PII). La norma definisce controlli aggiuntivi e requisiti specifici per supportare titolari e responsabili del trattamento nel contesto di un Privacy Information Management System (PIMS) integrato all’interno di un ISMS.

Lo standard è destinato a organizzazioni che agiscono come PII controllers e PII processors e che necessitano di integrare aspetti di privacy all’interno del loro sistema di gestione della sicurezza delle informazioni. Per approfondire i contenuti di questa norma, il Centro di Formazione UNITRAIN ha organizzato un corso specifico dal titolo “Protezione dati personali (privacy): comprendere e applicare la nuova ISO/IEC 27701:2025, l’unica norma internazionale e certificabile“.

La seconda norma: la UNI CEI EN ISO/IEC 27706:2025

La seconda norma specifica i requisiti per gli organismi che conducono audit e certificazione dei sistemi di gestione della privacy delle informazioni (PIMS) basati sulla UNI CEI ISO/IEC 27701. La norma integra i requisiti già previsti per gli audit dei sistemi di gestione applicandoli al contesto specifico della privacy delle informazioni. Stabilisce quindi i requisiti che permettono di condurre valutazioni strutturate e coerenti dei sistemi PIMS, in continuità con quanto previsto dalla citata UNI CEI ISO/IEC 27701.

Il documento si rivolge in particolare agli organismi di audit e certificazione che valutano i PIMS, permettendo loro di applicare criteri coerenti e basati su standard internazionali.

La terza norma, la UNI CEI EN ISO/IEC 27555:2025

Questa norma stabilisce più controlli sulla cancellazione dei dati personali; di fatto fornisce linee guida per la cancellazione delle personally identifiable information (PII). Definisce quindi una terminologia condivisa, descrive ruoli e documentazione necessari, fornisce indicazioni per definire regole di cancellazione e descrive i processi che devono supportare l’eliminazione delle PII. Si rivolge dunque a tutte le organizzazioni che trattano PII e che devono strutturare politiche e processi per la loro cancellazione, offrendo un quadro di riferimento per definire e documentare in modo coerente le regole e i processi relativi alla cancellazione delle PII, contribuendo a una gestione più chiara e controllata di questa fase.

Questi tre standard sono sviluppati a livello europeo dal CEN/CLC/JTC 13 “Cybersecurity and Data Protection”. In Italia i lavori di questo Comitato sono gestiti dalla Commissione UNINFO UNI/CT 510 “Sicurezza – Security”, in particolare dal GL 01, che presidia l’intera serie UNI CEI ISO/IEC 27000.