policy ISO 27701 PIMS Policy Pack

Politica di gestione del consenso e delle preferenze

Politica del consenso ISO 27701 per l’acquisizione lecita del consenso, le modifiche delle preferenze, la gestione delle revoche, le registrazioni delle evidenze e la governance del PIMS con evidenze disponibili in sede di audit.

Panoramica

La presente politica disciplina la gestione lecita del consenso e delle preferenze nei contesti di titolare del trattamento, responsabile del trattamento, contitolare del trattamento e sub-responsabile. Definisce come il consenso viene richiesto, registrato in REG05, collegato a REG02 e REG07, revocato, rinnovato, protetto, misurato, sottoposto ad audit e corretto.

Evidenze del consenso verificabili in audit

Definisce REG05 come registrazione autorevole dello stato del consenso, del testo, della versione dell’informativa, delle marcature temporali, dei metodi e della cronologia.

Gestione controllata della revoca

Richiede che la revoca e le modifiche delle preferenze siano registrate e attuate entro tempistiche operative definite o secondo le istruzioni del cliente.

Allineamento alla base giuridica

Assicura che il consenso sia utilizzato solo ove appropriato e collegato alle finalità del trattamento in REG02 e alle versioni dell’informativa privacy in REG07.

Leggi panoramica completa (click to expand)
La Politica di gestione del consenso e delle preferenze definisce requisiti obbligatori per determinare quando il consenso è richiesto, richiedere il consenso, acquisire le evidenze del consenso, gestire le preferenze, trattare le revoche, mantenere le registrazioni del consenso e riesaminare i meccanismi di consenso. Si applica al trattamento di dati personali quando il consenso è selezionato o richiesto come base giuridica, quando è richiesto il consenso esplicito, quando vengono acquisite preferenze di consenso o quando l’organizzazione gestisce le registrazioni del consenso per conto di un titolare del trattamento. La politica copre i contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, chiarendo che gli obblighi del responsabile del trattamento e del sub-responsabile si applicano solo quando le registrazioni del consenso, gli stati delle preferenze o le istruzioni di revoca sono gestiti in base a istruzioni documentate del titolare del trattamento o del cliente. Un principio centrale della politica è che il consenso non è la base giuridica predefinita per il trattamento di dati personali. Prima che una nuova attività di trattamento, o un’attività modificata in modo sostanziale, si basi sul consenso, il Proprietario del processo o il titolare dell’attività deve registrare in REG02 se il consenso è richiesto o selezionato; il Responsabile privacy o il Responsabile del PIMS deve verificare in REG02 e REG05 che il consenso non sia stato selezionato per impostazione predefinita. Quando il trattamento riguarda categorie particolari di dati personali, servizi rivolti a minori, trattamento ad alto rischio o uno squilibrio tra l’organizzazione e l’interessato, il Responsabile della protezione dei dati o il consulente in materia di protezione dei dati deve riesaminare la base del consenso in REG04 prima dell’avvio. Per le attività in contitolarità del trattamento, la responsabilità di ottenere, registrare, rinnovare e rispettare il consenso deve essere documentata prima dell’inizio del trattamento. La politica stabilisce requisiti operativi dettagliati per la richiesta e l’acquisizione del consenso. Le richieste di consenso devono essere specifiche per finalità e collegate alla versione dell’informativa privacy REG07 applicabile prima della presentazione all’interessato. I sistemi devono richiedere un’azione affermativa quando è necessario il consenso esplicito o opt-in e devono impedire che il trattamento basato sul consenso proceda, salvo che REG05 indichi uno stato del consenso attivo per la finalità pertinente. REG05 deve acquisire il riferimento dell’interessato, la finalità, la categoria di dati personali, il testo o la versione del consenso, la versione dell’informativa privacy, il canale di acquisizione, la marcatura temporale, il metodo, lo stato e il periodo di validità applicabile. Quando si applica il consenso relativo a servizi rivolti a minori o il consenso esplicito, si attivano ulteriori requisiti di logica, marcatura e riesame. Anche la gestione delle preferenze e delle revoche è disciplinata tramite REG05 e, ove applicabile, REG08. Un meccanismo di revoca o di modifica delle preferenze deve essere disponibile non oltre il momento in cui viene richiesto il consenso. Le revoche e le modifiche delle preferenze devono essere registrate entro cinque giorni lavorativi dalla ricezione o entro una tempistica più breve definita per l’attività di trattamento. I sistemi interessati, gli stati di soppressione o i flag delle preferenze devono essere aggiornati prima che prosegua qualsiasi ulteriore trattamento per una finalità revocata o limitata. I responsabili del trattamento devono inoltrare o attuare le istruzioni del cliente entro la tempistica definita dal cliente, e i sub-responsabili devono essere verificati tramite REG08 rispetto alle tempistiche contrattuali o impartite. La politica disciplina inoltre controllo delle modifiche, protezione delle registrazioni, governance, attuazione, metriche, eccezioni, applicazione e manutenzione. Il consenso deve essere rivalutato prima che il trattamento prosegua quando cambiano in modo sostanziale la finalità, le categorie di dati personali, l’identità del titolare del trattamento, il testo dell’informativa, la conservazione, la categoria dei destinatari o il metodo di trattamento. Il testo del consenso, la configurazione del meccanismo, i riferimenti all’informativa e gli schemi delle registrazioni del consenso devono essere sottoposti a controllo di versione. Le registrazioni REG05 devono essere protette da alterazioni non autorizzate e devono essere mantenute evidenze della traccia di audit. Le metriche includono controlli trimestrali di collegamento tra REG05, REG02 e REG07; misurazione mensile del completamento delle revoche quando è attivo un trattamento basato sul consenso; e reportistica di audit in REG12. Le eccezioni devono essere approvate prima dell’attuazione e le non conformità relative a evidenze del consenso mancanti, non valide, non collegate o non affidabili devono essere registrate entro cinque giorni lavorativi.

Diagramma della Policy

Diagramma di flusso del processo che mostra il riesame dell’applicabilità del consenso, la conferma della base giuridica, il collegamento all’informativa, l’acquisizione del consenso in REG05, gli aggiornamenti delle preferenze o delle revoche, la protezione delle evidenze, le metriche, il riesame di audit, le eccezioni e l’azione correttiva.

Fare clic sul diagramma per visualizzarlo a dimensione completa

Contenuto

Applicabilità del consenso e base giuridica

Richiesta e acquisizione del consenso

Gestione delle preferenze e della revoca

Modifica, rinnovo e controllo di versione del consenso

Registrazioni, evidenze e protezione

Metriche, eccezioni e applicazione

Conformità ai framework

🛡️ Standard e framework supportati

Questo prodotto è allineato ai seguenti framework di conformità, con mappature dettagliate di clausole e controlli.

Framework Clausole / Controlli coperti
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Politiche correlate

Politica sull’inventario dei trattamenti e sulla base giuridica

Le decisioni sul consenso dipendono dalle registrazioni della base giuridica in REG02 e dal collegamento all’inventario dei trattamenti a livello di finalità.

Politica sull’informativa privacy e sulla trasparenza

Le richieste di consenso devono essere collegate alla versione dell’informativa privacy REG07 applicabile prima della presentazione.

Politica di gestione dei diritti degli interessati

La gestione delle revoche e delle modifiche delle preferenze supporta la più ampia gestione dei diritti degli interessati.

Politica sulla valutazione del rischio privacy e sulla DPIA

Il riesame REG04 è richiesto per presupposti ad alto rischio quali categorie particolari di dati personali, servizi rivolti a minori o situazioni di squilibrio.

Politica di gestione privacy di responsabili del trattamento, sub-responsabili e terze parti

Gli obblighi del responsabile del trattamento, del sub-responsabile, dei fornitori e quelli relativi alle istruzioni del cliente sono gestiti tramite collegamenti REG08.

Politica di gestione delle informazioni documentate e delle evidenze del PIMS

La governance del consenso si basa su elementi di evidenza controllati, in particolare registrazioni REG05 ed eccezioni o risultanze REG12.

Informazioni sulle Policy Clarysec - Politica di gestione del consenso e delle preferenze

La presente politica stabilisce la governance operativa per la gestione del consenso e delle preferenze all’interno del PIMS. Definisce quando il consenso può essere utilizzato, come devono essere presentate le richieste di consenso, quali evidenze devono essere acquisite, come sono gestite le modifiche delle preferenze e le revoche e come le registrazioni sono riesaminate, protette, corrette e conservate. La politica è di titolarità del Responsabile privacy / Responsabile del PIMS, è approvata dall’alta direzione e si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile in cui siano coinvolte registrazioni del consenso, stati delle preferenze o istruzioni di revoca.

Consenso non predefinito

Richiede controlli in REG02 e REG05 affinché il consenso sia utilizzato solo ove appropriato per l’attività di trattamento.

Collegamento alla versione dell’informativa

Collega le richieste e le registrazioni del consenso alla versione dell’informativa privacy REG07 applicabile prima dell’inizio del trattamento.

Soddisfacimento della revoca

Definisce gli obblighi di registrazione e aggiornamento dei sistemi per revoche e modifiche delle preferenze entro le tempistiche richieste.

Registrazioni protette

Richiede che le evidenze del consenso in REG05 siano protette da alterazioni non autorizzate mediante evidenze della traccia di audit.

Domande frequenti

Creato per Leader, dai Leader

Questa policy è stata redatta da un leader della sicurezza con oltre 25 anni di esperienza nell’implementazione e nell’audit di framework ISMS per organizzazioni globali. È progettata non solo come documento, ma come un framework difendibile che resiste alla verifica degli auditor.

Redatto da un esperto in possesso di:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Copertura & Argomenti

🏢 Dipartimenti target

Privacy Legale Conformità Sicurezza IT Ufficio DPO

🏷️ Copertura tematica

Gestione delle informazioni sulla privacy trattamento dei dati personali consenso e base giuridica registrazioni dei trattamenti responsabilità del titolare del trattamento e del responsabile del trattamento gestione delle terze parti monitoraggio e misurazione
€69

Acquisto una tantum

Download immediato
Aggiornamenti a vita

Questa policy è 1 di 25 nel Pacchetto PIMS ISO/IEC 27701 completo

Risparmia il 52%

Ottieni tutte le 25 policy PIMS, il set completo di registri e un piano di implementazione dettagliato per €799, invece di €1.675 acquistandole singolarmente.

Vedi Pacchetto 27701 completo →
Consent and Preference Management Policy

Dettagli prodotto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Standard: 5