Lo standard

La norma definisce i requisiti e fornisce linee guida per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per le Informazioni in ambito Privacy (SGIP). Essa consiste in una estensione della ISO/IEC 27001 e si basa anche sul Codice di buone pratiche per i controlli della sicurezza delle informazioni di cui alla ISO/IEC 27002. Pertanto, l’applicazione della ISO/IEC 27701 non può essere a sé stante, ma deve essere integrata con l’applicazione delle norme citate.
Quindi, le organizzazioni che sono già certificate secondo la ISO/IEC 27001, con un’adeguata integrazione del proprio sistema di gestione potranno dare visibilità alle attività svolte nell’ambito della gestione della privacy, dimostrando l’impegno al rispetto della legislazione cogente in materia di protezione dei dati personali, come il Regolamento (EU) 2016/679 (GDPR).
Le organizzazioni non ancora certificate secondo la ISO/IEC 27001, invece, potranno implementare un SGSI che, contestualmente, prenda in carico i requisiti di entrambe le norme in quanto, come detto, la ISO/IEC 27701 non è altro che una specificazione, con riferimento alla gestione dei dati personali, di quanto stabilito nella ISO/IEC 27001.

I destinatari

La norma è applicabile ad organizzazioni di tutti i tipi e dimensioni, incluse aziende pubbliche e private, enti governativi e non-profit, che sono titolari e/o responsabili per il trattamento di dati personali all’interno di un Sistema di Gestione per la Sicurezza delle Informazioni.

La certificazione

La certificazione di Dasa-Rägister S.p.A. assicura, nei confronti di tutte le parti interessate, che l’Organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.

La procedura

La Norma ISO/IEC 27701 può essere oggetto di estensione della certificazione anche da sola, ma occorre che l’organizzazione sia già certificata a fronte della norma ISO/IEC 27001.
Il processo di certificazione prevede le seguenti fasi:

  • audit preliminare (facoltativo): valutazione del livello di conformità dell’Organizzazione;
  • audit di attestazione, verifica della conformità rispetto ai requisiti, si conclude con l’eventuale emissione dell’attestato;
  • audit di sorveglianza: verifica prevista, con cadenza quantomeno annuale, per monitorare il mantenimento della conformità ed il miglioramento continuo.

La certificazione consente di ottenere i seguenti vantaggi:

Incrementa la fiducia degli stakeholder circa la capacità dell’organizzazione di gestire le informazioni personali

Aiuta a dimostrare la conformità al GDPR ed alle altre norme cogenti in materia di protezione di dati

Migliora l'immagine aziendale

Supporta l’attività commerciale attraverso il possesso di un elemento qualificante nei confronti della committenza

Riduce i rischi legati alla violazione della privacy

Accreditamento scopo flessibile

Dasa-Rägister Ufficio_MI_