Norma ISO/IEC 27701:2025, come cambia lo standard internazionale sui sistemi di gestione della privacy
Il 14 ottobre 2025, l’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno annunciato l’approvazione e il rilascio della seconda edizione della norma ISO/IEC 27701, lo standard internazionale per i Sistemi di Gestione delle Informazioni sulla protezione dei dati personali (PIMS - Privacy Information Management Systems).
(Nella foto: l'Ing. Monica Perego, docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager)
La UNI ha successivamente pubblicato la versione UNI CEI EN ISO/IEC 27701:2025 “Sicurezza delle informazioni, cybersecurity e protezione della privacy - Sistemi di gestione delle informazioni sulla privacy - Requisiti e linee guida”.
Questa nuova versione sostituisce l’edizione originale del 2019 e introduce cambiamenti significativi che ridefiniscono l’approccio alla gestione della privacy nelle organizzazioni, elevando la protezione dei dati personali a un pilastro critico e distintivo della governance delle informazioni.
L’indipendenza dello standard - La modifica più rilevante introdotta dall’edizione 2025 riguarda la relazione tra la ISO/IEC 27701 e gli altri standard della famiglia ISO/IEC 27000, in particolare ISO/IEC 27001 e ISO/IEC 27002, che costituiscono gli standard di riferimento per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).
Quando la ISO/IEC 27701 fu pubblicata per la prima volta nel 2019, era stata sviluppata come un’estensione per la privacy della ISO/IEC 27001 e della ISO/IEC 27002. Questo significava che un’organizzazione non poteva implementare o certificare il proprio PIMS in modo indipendente; era necessario avere già in essere un ISMS basato sulla ISO/IEC 27001. Tale sistema poteva essere successivamente esteso con la ISO/IEC 27701. In termini pratici, veniva richiesta una certificazione combinata ISO/IEC 27001 e ISO/IEC 27701 per garantire l’allineamento tra i due sistemi.
Con l’edizione 2025, questo paradigma è completamente cambiato. La ISO/IEC 27701 è ora uno standard autonomo. Anche il titolo è stato rivisto ed ora è "Information security, cybersecurity and privacy protection - Privacy information management systems - Requirements and guidance". Le organizzazioni possono implementare e certificare un PIMS indipendentemente dalla presenza o meno di un ISMS.
Questo comporta una serie di vantaggi per le aziende pubbliche e private:
- maggiore accessibilità in quanto la certificazione sulla privacy diventa più praticabile per organizzazioni che potrebbero non avere un ISMS implementato ma desiderano comunque dimostrare una solida governance della privacy;
- focus specifico che permette alle organizzazioni di concentrarsi specificamente sui rischi e i controlli relativi alla privacy;
- aumento della flessibilità per organizzazioni di tutte le dimensioni e complessità.
Si pensi ad esempio al caso di una RSA che dispone essenzialmente di soli dati personali; la nuova versione dello standard favorisce una gestione più efficiente avendo ora una sola norma di sistema da considerare.
La gestione della privacy e dei rischi relativi alle informazioni personali (PII) sono ora quindi elevati a un livello paritario rispetto ai framework generali di sicurezza delle informazioni come la ISO/IEC 27001.
Requisiti del PIMS - In termini di struttura, l’edizione 2025 di ISO/IEC 27701 rimane molto simile alla ISO/IEC 27001, mantenendo il framework dei sistemi di gestione utilizzato in tutti gli standard di gestione ISO. Tuttavia, introduce clausole dettagliate che definiscono come le organizzazioni dovrebbero stabilire, implementare e migliorare continuamente il loro PIMS.
Controlli del PIMS - Un altro aggiornamento importante riguarda i controlli presenti nello standard ISO/IEC 27701:2025 prevede tre categorie di controlli:
1. controlli per i Titolari del Trattamento dei Dati Personali (PII Controllers);
2. controlli per i Responsabili del Trattamento dei Dati Personali (PII Processors);
3. controlli di sicurezza delle informazioni selezionati da ISO/IEC 27001:2025.
Per quanto riguarda i controlli sulla sicurezza delle informazioni, nella norma ISO/IEC 27001:2022 sono presenti 93 controlli, raggruppati in quattro categorie: controlli organizzativi, relativi alle persone, fisici e tecnologici, mentre la nuova ISO/IEC 27701:2025 include solamente 29 controlli di sicurezza delle informazioni (Appendice A), presi dalla ISO/IEC 27001:2022 e nello specifico quelli che hanno un impatto diretto o potenziale sulla privacy.
Questo aspetto presenta un elemento di criticità; la scelta di alcuni controlli potrebbe essere discutibile soprattutto in alcuni contesti dove sono presenti delle specificità. Il suggerimento, per chi deve applicare questo standard è comunque quello di considerare anche altri controlli della ISO/IEC 27001:2022 non inclusi nella ISO/IEC 27701:2025 che potrebbero risultare comunque interessanti per rafforzare il perimetro della sicurezza delle informazioni.

L’Appendice A dello standard presenta nuove tabelle di controllo sia per i titolari che per i responsabili del trattamento, con aggiornamenti che avrebbero potuto affrontare in modo più mirato le tecnologie emergenti come ad esempio le tematiche poste dall’intelligenza artificiale.
Appendici del PIMS - L’Appendice A contiene i 29 controlli; L’appendice B riporta le linee guida per l’implementazione dei suddetti controlli in parte richiamando specifiche già presenti nella ISO/IEC 27002:2015.
Le ulteriori appendici - C, D, E ed F - riportano tabelle di riferimenti incrociati dei requisiti e dei controlli della ISO/IEC 27701 con la ISO/IEC 29100, il GDPR, la ISO/IEC 27018, la ISO/IEC 29151 ed infine la versione precedente della ISO/IEC 27701.
Integrazione con altri standard ISO - La nuova struttura è progettata per integrarsi con altri sistemi di gestione esistenti, rendendola adattabile e flessibile per organizzazioni di tutte le dimensioni e complessità tra cui in particolare:
- ISO 9001 (gestione della qualità) – ora in revisione;
- ISO/IEC 27001 (sicurezza delle informazioni);
- ISO/IEC 42001 (intelligenza artificiale).
Questa compatibilità consente alle organizzazioni di costruire un sistema di gestione integrato che copre qualità, sicurezza, privacy e innovazione tecnologica.
Conclusioni - La nuova edizione di ISO/IEC 27701:2025 rappresenta un’evoluzione significativa nella gestione della privacy a livello internazionale.
La trasformazione da estensione a standard autonomo non è semplicemente un cambiamento tecnico, ma un riconoscimento formale del ruolo critico che la privacy svolge nel contesto delle imprese; per quanto restano delle sacche di potenziale miglioramento.







