ISO 27701: GDPR e Privacy - La Certificazione che Dimostra la Conformità

Il GDPR è in vigore dal 2018, eppure molte aziende italiane faticano ancora a dimostrare la propria conformità in modo strutturato. Registri del trattamento aggiornati, informative revisionate, DPO nominato: ma quando un cliente enterprise chiede «come dimostra che i dati dei nostri clienti sono gestiti correttamente?», la risposta spesso è un fascicolo di documenti più o meno ordinati. La ISO/IEC 27701 cambia questa dinamica: non sostituisce il GDPR, ma trasforma la privacy da adempimento documentale a processo sistematico, verificabile da terze parti indipendenti.

Cos'è ISO 27701 e la sua relazione con ISO 27001

La ISO/IEC 27701:2019 è lo standard internazionale per i Privacy Information Management System (PIMS). Disponibile in italiano come UNI/CEI EN ISO/IEC 27701:2022, non è una raccolta di documenti sulla privacy: è un sistema integrato di politiche, processi, controlli e responsabilità che gestisce sistematicamente il ciclo di vita dei dati personali, basato sul ciclo PDCA e orientato al miglioramento continuo. Come tutti i sistemi di gestione ISO, richiede un impegno continuativo, non solo un'implementazione una tantum.

La norma è strutturata come estensione della ISO/IEC 27001. Riprende tutti i requisiti del sistema di gestione ISMS e li integra con requisiti specifici per la privacy, aggiungendo controlli negli Annex B e C con una distinzione esplicita tra titolari del trattamento (controller) e responsabili del trattamento (processor). Questa distinzione rispecchia direttamente l'architettura del GDPR ed è uno dei punti di forza della norma rispetto ad altri standard di privacy.

Il punto che genera più confusione è il rapporto con la 27001: la ISO 27701 non è autonoma. Non puoi certificarti 27701 senza avere — o implementare contestualmente — un ISMS conforme alla 27001. Non è un vincolo arbitrario: la privacy dei dati personali è un'estensione della sicurezza delle informazioni, e i controlli della 27001 sono fondamentali anche per la privacy. Due scenari pratici:

• Organizzazione già certificata 27001: aggiunge la 27701 come estensione al ISMS esistente, con audit integrato nei cicli di sorveglianza o rinnovo. L'incremento dei costi è contenuto.
• Organizzazione che parte da zero: implementa e certifica contestualmente sia la 27001 che la 27701, evitando il percorso in due fasi separate. Più impegnativo, ma spesso più efficiente.

Da GDPR a PIMS: come la norma traduce i requisiti privacy

La forza della ISO 27701 sta nel modo in cui traduce gli obblighi giuridici del GDPR in requisiti di sistema di gestione operativi. Il regolamento dice cosa devi garantire; la 27701 ti dice come costruire un sistema che lo garantisca in modo verificabile e ripetibile.

I principali obblighi GDPR che la 27701 traduce in processi strutturati:

• Accountability (art. 5, par. 2): il PIMS fornisce il sistema documentale e i controlli che dimostrano la conformità, verificato da terze parti indipendenti e non più autoreferenziale.
• Misure adeguate (art. 32): i controlli della 27701 definiscono concretamente cosa significa «adeguato» in termini di sicurezza del trattamento, eliminando l'ambiguità interpretativa.
• Privacy by design e by default (art. 25): la norma richiede che le considerazioni di privacy siano integrate nei processi di sviluppo fin dalla progettazione, non come aggiunta a posteriori.
• Diritti degli interessati (artt. 15-22): processi documentati per rispondere alle richieste nei termini previsti (generalmente un mese), con tracciabilità completa delle risposte.
• Contratti con i processor (art. 28): la norma richiede DPA documentati e processi strutturati per selezionare, contrattualizzare e monitorare i responsabili del trattamento.

Requisiti specifici per controller e processor

La distinzione tra controller e processor è uno degli elementi più apprezzati della ISO 27701: i controlli non sono generici, ma specifici per il ruolo svolto nel trattamento. Questa specificità rende la norma molto più utile nella pratica rispetto a standard di privacy che trattano ogni organizzazione allo stesso modo indipendentemente dal suo ruolo.

Per i titolari del trattamento (Annex B), i requisiti principali coprono:

• Identificazione e documentazione della base giuridica per ciascuna attività di trattamento (consenso, contratto, obbligo legale, legittimo interesse, ecc.).
• Processi strutturati per rispondere alle richieste degli interessati nell'esercizio dei propri diritti, con tracciamento dei tempi di risposta.
• Controlli per la minimizzazione dei dati e la limitazione della finalità del trattamento.
• Documentazione delle garanzie per i trasferimenti internazionali (clausole contrattuali standard, BCR, decisioni di adeguatezza).

Per i responsabili del trattamento (Annex C), i requisiti principali coprono:

• Esistenza di un DPA con il titolare e rispetto rigoroso delle istruzioni documentate ricevute.
• Gestione strutturata dei sub-responsabili: selezione, contrattualizzazione e monitoraggio continuo.
• Supporto al titolare per la gestione dei diritti degli interessati e per la conduzione di DPIA.
• Notifica senza ingiustificato ritardo al titolare di qualsiasi violazione di dati personali, per consentire il rispetto delle 72 ore di notifica al Garante.

Mappatura ISO 27701 - GDPR: Annex D della norma

L'Annex D della ISO/IEC 27701 è uno degli strumenti più pratici per chi lavora nel campo della privacy: mette in relazione esplicita ciascun controllo della norma con le disposizioni specifiche del GDPR, rendendo immediatamente visibile quale articolo del regolamento viene indirizzato da quale controllo.

Puoi usare la 27701 come strumento di gap analysis rispetto al GDPR: implementare tutti i controlli applicabili significa sistematicamente indirizzare gli obblighi più rilevanti del regolamento. Non è una garanzia di compliance totale — ci sono aspetti del GDPR di natura formale che vanno oltre la norma tecnica — ma è il modo più strutturato per dimostrare l'adozione di misure adeguate e per rendere la compliance verificabile.

In sede di ispezione da parte del Garante, la certificazione ISO 27701 può essere presentata come evidenza dell'adozione di misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR. Non è una difesa assoluta, ma distingue concretamente un'organizzazione che ha gestito la privacy in modo serio da una che si è limitata agli adempimenti formali minimi.

Implementazione pratica: gap analysis, PIA, registro trattamenti

L'implementazione di un PIMS conforme alla ISO 27701 si articola in quattro fasi principali. La sequenza è importante: ciascuna fase costruisce sulle precedenti e non è corretto saltare dalla gap analysis direttamente alla certificazione senza aver consolidato i processi intermedi.

1. Gap analysis: confronto tra le pratiche di privacy esistenti e i requisiti della norma, usando l'Annex D come guida per identificare le aree di non conformità rispetto al GDPR. Produce un piano di lavoro prioritizzato con stime di effort.
2. Estensione dell'ISMS: adattamento del sistema 27001 per includere i controlli di privacy, con aggiornamento dello Statement of Applicability (SoA) per includere gli Annex B e C applicabili al ruolo dell'organizzazione.
3. Privacy Impact Assessment (PIA/DPIA): processo strutturato per condurre valutazioni d'impatto sui trattamenti ad alto rischio, con criteri documentati per decidere quando una DPIA è necessaria e come condurla.
4. Registro dei trattamenti integrato: il registro previsto dall'art. 30 GDPR diventa parte integrante della documentazione del PIMS, collegato ai controlli della norma e alle valutazioni del rischio privacy.

Certificazione ISO 27701 e certificazione GDPR ex art. 42: differenze

Il GDPR prevede all'art. 42 meccanismi di certificazione specifici come strumenti per dimostrare la conformità al regolamento. È importante capire la differenza rispetto alla certificazione ISO 27701, per evitare sia sovrastime che sottostime del valore di ciascuna.

Nella pratica attuale, la certificazione ISO 27701 è lo strumento più concreto e disponibile per dimostrare un approccio strutturato alla privacy. Quando i meccanismi ex art. 42 saranno pienamente operativi a livello europeo, le due certificazioni saranno complementari piuttosto che alternative.

FAQ

La certificazione ISO 27701 garantisce la conformità al GDPR?
No, non in senso assoluto. La conformità dipende anche da aspetti formali che vanno oltre la norma tecnica. Tuttavia, la 27701 copre sistematicamente gli aspetti tecnici e organizzativi più rilevanti e costituisce l'evidenza più solida per dimostrare misure adeguate ai sensi dell'art. 32 GDPR.

Posso certificarmi ISO 27701 senza ISO 27001?
No. La 27701 è un'estensione della 27001 e non può essere certificata autonomamente. Se non hai ancora la 27001, puoi implementare le due norme contestualmente, che è spesso l'approccio più efficiente.

Quanto costa la certificazione ISO 27701 in aggiunta alla 27001?
Per un'organizzazione già certificata 27001, il costo aggiuntivo varia indicativamente tra il 30% e il 60% del costo dell'audit 27001 standard, a seconda della complessità del trattamento dei dati personali nell'organizzazione.

A chi si rivolge principalmente la ISO 27701?
A qualsiasi organizzazione che tratti dati personali in modo significativo: cloud provider, software house, aziende di marketing e CRM, fornitori di servizi sanitari, istituti finanziari, HR provider. A chiunque abbia obblighi rilevanti sotto il GDPR e voglia dimostrare affidabilità in modo strutturato e verificabile.

La 27701 è riconosciuta come certificazione GDPR ai sensi dell'art. 42?
Non ancora in modo formale a livello europeo (situazione aggiornata a inizio 2026). Il processo di riconoscimento è in corso, ma i meccanismi di approvazione delle DPA e dell'EDPB richiedono tempo. Questo non diminuisce il valore pratico: rimane lo strumento più completo e riconosciuto per gestire la privacy in modo sistematico.