ISO 27701 è l'estensione sulla privacy dello standard che stabilisce i requisiti per il sistema di gestione della sicurezza delle informazioni riconosciuto a livello mondiale, ISO/IEC 27001. Fornisce una guida per la gestione delle informazioni sulla privacy e consente alle organizzazioni di dimostrare la propria conformità al Regolamento generale sulla protezione dei dati (GDPR). Lo standard fornisce un quadro di riferimento per il trattamento delle informazioni che consentono l'identificazione personale (PII) e aiuta i titolari e i responsabili del trattamento a rispondere ai requisiti di privacy dei clienti.
Rob Acker, Technical Manager di LRQA ha spiegato: "ISO/IEC 27701 è un'estensione di ISO/IEC 27001 ed è importante vederla come una gestione del rischio migliorata piuttosto che come un insieme di controlli aggiuntivi. ISO/IEC 27001 è senza dubbio un buon punto di partenza, tuttavia, estendere un sistema di gestione della sicurezza delle informazioni in modo da incorporare anche la privacy rafforza il campo di applicazione".
Secondo l'EY Global Consumer Privacy Survey 2020, il 63% dei consumatori considera le pratiche di raccolta e conservazione dei dati di un'organizzazione come il fattore più importante quando condividono informazioni sensibili con l'organizzazione.
Acker ha affermato inoltre: "Il trattamento delle PII, seppure in svariati modi, viene effettuato in tutte le organizzazioni, tuttavia, con l'economia digitale, il volume e il tipo di dati sta aumentando e si sta evolvendo. Per questo, mitigare i rischi associati al trattamento delle informazioni è fondamentale. È importante soprattutto perché una violazione dei dati può essere di vasta portata ed estremamente dannosa per il marchio di un'organizzazione".
Lavorando con auditors esperti, le organizzazioni saranno messe alla prova sulla gestione delle PII e sulla presenza di processi adeguati.
"La fiducia è cruciale nelle interazioni con i clienti, pertanto fornire loro un motivo per fidarsi di un'organizzazione al punto tale da affidarle le proprie informazioni personali è fondamentale", ha sottolineato Acker. "È fondamentale che i titolari e i responsabili del trattamento di PII capiscano i propri ruoli e le proprie responsabilità per garantire che tutti sappiano chi è responsabile. Con il passaggio a un'economia di servizi, le partnership lungo la supply chain diventeranno fondamentali e sarà necessaria una cooperazione tra le organizzazioni".