News
Nuovi standards privacy in Italia: arrivano le norme UNI CEI per la gestione e la cancellazione dei dati
In un panorama digitale dove identità, dati e processi informativi sono il cuore di ogni attività, possedere riferimenti tecnici autorevoli non è più soltanto un vantaggio competitivo, ma una vera e propria necessità.
L’Italia ha compiuto un passo avanti significativo recependo tre nuovi standard fondamentali dedicati alla privacy, alla cancellazione dei dati personali e alla certificazione dei sistemi di gestione.
Queste norme entrano ufficialmente a far parte della serie UNI CEI ISO/IEC 27000, offrendo alle organizzazioni strumenti chiari e verificabili per una gestione dei dati responsabile e conforme.
Andiamo a conoscere meglio le tre nuove norme.
UNI CEI EN ISO/IEC 27701:2025
Questa norma rappresenta un'estensione delle già note UNI CEI ISO/IEC 27001 e 27002, integrando requisiti specifici e linee guida per la gestione delle informazioni personali (PII). L'obiettivo è definire controlli aggiuntivi per supportare titolari e responsabili del trattamento nell'implementazione di un Privacy Information Management System (PIMS) integrato al sistema di gestione della sicurezza delle informazioni (ISMS). Lo standard si rivolge alle organizzazioni che agiscono come PII controllers (titolari) e PII processors (responsabili) e che devono integrare la privacy nella loro gestione della sicurezza.
UNI CEI EN ISO/IEC 27706:2025
La seconda norma specifica i requisiti per gli organismi incaricati di condurre audit e certificazioni dei sistemi di gestione della privacy (PIMS) basati sulla norma 27701. Il documento integra i requisiti di audit già esistenti applicandoli specificamente al contesto della privacy, permettendo valutazioni strutturate e coerenti e si rivolge principalmente agli organismi di audit e certificazione, fornendo loro criteri basati su standard internazionali per valutare i PIMS.
UNI CEI EN ISO/IEC 27555:2025
L'ultima norma affronta un tema cruciale: la cancellazione delle Personally Identifiable Information (PII). Fornisce linee guida pratiche, definisce una terminologia condivisa, i ruoli, la documentazione necessaria e i processi per supportare l'eliminazione sicura delle PII e offre un quadro di riferimento a tutte le organizzazioni che trattano dati personali, aiutandole a strutturare politiche e processi di cancellazione in modo chiaro, documentato e controllato.
Questi tre standard sono stati sviluppati a livello europeo dal comitato CEN/CLC/JTC 13 "Cybersecurity and Data Protection". In Italia, i lavori sono gestiti dalla Commissione UNINFO UNI/CT 510 "Sicurezza - Security", e nello specifico dal GL 01 che presidia l'intera serie ISO/IEC 27000.
