Tre nuovi standard per rafforzare privacy e sicurezza

Si arricchisce la gamma di strumenti chiari, verificabili e riconosciuti per gestire i dati personali in modo responsabile, sicuro e conforme.

In un contesto in cui dati, identità digitali e processi informativi sono al centro di ogni attività, avere riferimenti tecnici autorevoli non è più un vantaggio: è una necessità.
Tre nuovi standard fondamentali per la privacy, la cancellazione dei dati personali e la certificazione dei sistemi di gestione della privacy sono stati ora recepiti a livello italiano, entrando così a far parte della serie UNI CEI ISO/IEC 27000 e contribuendo ad arricchire la gamma di strumenti chiari, verificabili e riconosciuti ad uso delle organizzazioni per gestire i dati personali in modo responsabile, sicuro e conforme.

La prima norma è la UNI CEI EN ISO/IEC 27701:2025.
Il documento rappresenta una estensione della UNI CEI ISO/IEC 27001 e della UNI CEI ISO/IEC 27002 che aggiunge requisiti e linee guida specifiche per la gestione delle informazioni personali (PII). La norma definisce controlli aggiuntivi e requisiti specifici per supportare titolari e responsabili del trattamento nel contesto di un Privacy Information Management System (PIMS) integrato all’interno di un ISMS.
Lo standard è destinata a organizzazioni che agiscono come PII controllers e PII processors e che necessitano di integrare aspetti di privacy all’interno del loro sistema di gestione della sicurezza delle informazioni.
Per approfondire i contenuti di questa norma, il Centro di Formazione UNITRAIN ha organizzato un corso specifico dal titolo “Protezione dati personali (privacy): comprendere e applicare la nuova ISO/IEC 27701:2025, l’unica norma internazionale e certificabile“. Sono ad oggi disponibili due date a calendario: il 2 dicembre 2025 e il 5 febbraio 2026. Iscrivetevi!

La seconda norma è la UNI CEI EN ISO/IEC 27706:2025.
Essa specifica i requisiti per gli organismi che conducono audit e certificazione dei sistemi di gestione della privacy delle informazioni (PIMS) basati sulla UNI CEI ISO/IEC 27701. La norma integra i requisiti già previsti per gli audit dei sistemi di gestione applicandoli al contesto specifico della privacy delle informazioni. Stabilisce quindi i requisiti che permettono di condurre valutazioni strutturate e coerenti dei sistemi PIMS, in continuità con quanto previsto dalla citata UNI CEI ISO/IEC 27701.
Il documento si rivolge in particolare agli organismi di audit e certificazione che valutano i PIMS, permettendo loro di applicare criteri coerenti e basati su standard internazionali.

L’ultima norma è la UNI CEI EN ISO/IEC 27555:2025, che definisce più controlli sulla cancellazione dei dati personali.
Di fatto fornisce linee guida per la cancellazione delle personally identifiable information (PII). Definisce quindi una terminologia condivisa, descrive ruoli e documentazione necessari, fornisce indicazioni per definire regole di cancellazione e descrive i processi che devono supportare l’eliminazione delle PII. Si rivolge dunque a tutte le organizzazioni che trattano PII e che devono strutturare politiche e processi per la loro cancellazione, offrendo un quadro di riferimento per definire e documentare in modo coerente le regole e i processi relativi alla cancellazione delle PII, contribuendo a una gestione più chiara e controllata di questa fase.

Questi tre standard sono sviluppati a livello europeo dal CEN/CLC/JTC 13 “Cybersecurity and Data Protection”. In Italia i lavori di questo Comitato sono gestiti dalla Commissione UNINFO UNI/CT 510 “Sicurezza – Security”, in particolare dal GL 01, che presidia l’intera serie UNI CEI ISO/IEC 27000.

Per informazioni:
UNINFO (Tecnologie informatiche e loro applicazioni)
Tel. +39 011501027
Email: uninfo@uninfo.it