policy ISO 27701 PIMS Policy Pack

Politica di gestione della privacy dei responsabili del trattamento, dei sub-responsabili e delle terze parti

Gestisci i rapporti con i responsabili del trattamento, i sub-responsabili e le terze parti che trattano dati personali mediante evidenze REG08, due diligence, contratti, monitoraggio e controlli di cessazione.

Panoramica

Questa politica disciplina i responsabili del trattamento, i sub-responsabili e le terze parti che trattano dati personali. Utilizza REG08 come registro principale delle evidenze e definisce requisiti per la classificazione dei ruoli, due diligence, contratti, istruzioni del cliente, approvazioni dei sub-responsabili, monitoraggio, collegamento agli incidenti, registrazioni dei trasferimenti, evidenze di cessazione e azione correttiva.

Controllo delle terze parti lungo il ciclo di vita

Definisce come i responsabili del trattamento, i sub-responsabili e le terze parti che trattano dati personali sono identificati, approvati, monitorati, modificati e cessati.

Evidenze REG08 pronte per l’audit

Utilizza REG08 come registro principale, collegando i rapporti alle registrazioni di trattamento, di rischio, di trasferimento, di incidente e di azione correttiva.

Responsabilità dei ruoli chiare

Assegna responsabilità alla privacy, all’approvvigionamento, alla sicurezza, ai proprietari del processo, ai proprietari dei sistemi, alla risposta agli incidenti e all’alta direzione.

Leggi panoramica completa (click to expand)
La Politica di gestione della privacy dei responsabili del trattamento, dei sub-responsabili e delle terze parti definisce come un’organizzazione governa le parti esterne che trattano, accedono, ricevono, archiviano, trasmettono, supportano o altrimenti gestiscono dati personali nell’ambito di applicazione del Sistema di gestione delle informazioni sulla privacy. Si applica quando l’organizzazione agisce come titolare del trattamento di dati personali utilizzando responsabili del trattamento, come contitolare del trattamento con necessità di classificazione dei ruoli, come responsabile del trattamento che utilizza sub-responsabili o subappaltatori, e come sub-responsabile che riceve le istruzioni del cliente. La politica copre inoltre i rapporti con terze parti che richiedono due diligence privacy, controlli contrattuali, istruzioni documentate, approvazione dei sub-responsabili, monitoraggio, assurance, interfaccia con gli incidenti, collegamento ai trasferimenti, restituzione, cancellazione o evidenze di cessazione. Una caratteristica centrale della politica è l’utilizzo di REG08 — Registro dei responsabili del trattamento, dei sub-responsabili e della condivisione dei dati — come elemento di evidenza principale per la gestione della privacy dei responsabili del trattamento, dei sub-responsabili e delle terze parti. La politica richiede al Responsabile della privacy / Responsabile del PIMS di definire i campi minimi di REG08 e di classificare i rapporti privacy con terze parti come titolare del trattamento, contitolare del trattamento, responsabile del trattamento, sub-responsabile o altro rapporto con terze parti prima dell’approvazione contrattuale o prima dell’inizio del trattamento dei dati personali. Richiede inoltre al Responsabile fornitori / approvvigionamento di bloccare l’onboarding, il rinnovo o l’estensione fino al completamento di REG08 e al collegamento con registrazioni quali REG02, REG04, REG09 o REG10 quando tali elementi di evidenza sono attivati. Ciò crea un collegamento documentato tra governance del rapporto, inventario dei trattamenti, registrazioni del rischio e DPIA, evidenze dei trasferimenti internazionali, registrazioni degli incidenti e azioni correttive. La politica stabilisce requisiti dettagliati per due diligence, valutazione del rischio e controllo contrattuale. La due diligence privacy deve essere completata prima di selezionare, rinnovare o modificare in modo sostanziale un rapporto con un responsabile del trattamento, un sub-responsabile o una terza parte che tratta o accede a dati personali. Le evidenze di assurance di sicurezza devono essere riesaminate dal Responsabile della sicurezza delle informazioni prima dell’approvazione, e i rapporti ad alto rischio con responsabili del trattamento o le modifiche sostanziali in materia di privacy relative a terze parti attivano la valutazione del rischio privacy e lo screening DPIA in REG04. I controlli su contratto e istruzioni documentate sono distinti per i contesti di titolare del trattamento e di responsabile del trattamento. Quando agisce come titolare del trattamento, l’organizzazione deve registrare un contratto scritto con il responsabile del trattamento o un accordo vincolante equivalente prima che un responsabile del trattamento tratti dati personali. Quando agisce come responsabile del trattamento, gli accordi con il cliente o le istruzioni del cliente documentate devono definire l’ambito autorizzato del trattamento prima che i dati personali del cliente siano trattati. La politica richiede inoltre copertura contrattuale per assistenza, assurance di sicurezza, interfaccia con gli incidenti tramite PII15, restituzione o cancellazione tramite PII10, collegamento ai trasferimenti tramite PII13 e cooperazione per audit o assurance. La governance dei sub-responsabili e dei subappaltatori è trattata mediante requisiti specifici di approvazione, informativa, obblighi a cascata e monitoraggio. Il Responsabile fornitori / approvvigionamento deve mantenere in REG08 un elenco di sub-responsabili e subappaltatori, verificare l’autorizzazione del cliente prima dell’incarico, notificare ai clienti i sub-responsabili nuovi o sostitutivi previsti secondo l’accordo applicabile e garantire obblighi a cascata in materia di privacy, sicurezza, assistenza, restituzione, cancellazione, interfaccia con gli incidenti e collegamento ai trasferimenti prima che qualsiasi sub-responsabile tratti dati personali. Anche le informative lato titolare relative a modifiche dei sub-responsabili devono essere tracciate, con decisioni di approvazione, opposizione o escalation registrate in REG08 entro il periodo contrattuale di opposizione o entro 10 giorni lavorativi dal ricevimento dell’informativa, se tale termine è più breve. La politica completa il ciclo di vita con monitoraggio continuativo, gestione dell’assistenza, registrazione delle comunicazioni, collegamento agli incidenti, collegamento ai trasferimenti, evidenze di cessazione, eccezioni, applicazione e riesame. I rapporti ad alto rischio con responsabili del trattamento e sub-responsabili sono monitorati trimestralmente, mentre gli altri rapporti attivi con responsabili del trattamento e sub-responsabili che trattano dati personali sono monitorati annualmente. Le richieste di assistenza relative ai diritti degli interessati, DPIA, evidenze di sicurezza, audit o assurance del cliente devono essere coordinate tramite REG08 e collegate a REG06, REG04 o REG12 ove applicabile. Le notifiche di incidenti privacy connessi ai fornitori sono indirizzate a REG10 ai sensi di PII15 entro un giorno lavorativo, e le evidenze di restituzione, cancellazione, smaltimento o transizione devono essere ottenute entro 30 giorni dalla cessazione, scadenza, istruzione del cliente o evento di uscita approvato, salvo che si applichi un termine contrattuale più breve. Le eccezioni sono limitate nel tempo, richiedono una valutazione d’impatto sulla privacy e possono richiedere l’approvazione dell’alta direzione quando incidono su un trattamento ad alto rischio, evidenze contrattuali mancanti, lacune nel collegamento ai trasferimenti o ambito di certificazione.

Diagramma della Policy

Diagramma di flusso del processo che mostra l’identificazione in REG08 del rapporto con terze parti relativo ai dati personali, la classificazione dei ruoli, la due diligence e l’assurance di sicurezza, l’approvazione del contratto o delle istruzioni, i controlli sui sub-responsabili, il monitoraggio, il collegamento agli incidenti e ai trasferimenti, le evidenze di cessazione e l’azione correttiva.

Fare clic sul diagramma per visualizzarlo a dimensione completa

Contenuto

Classificazione dei rapporti REG08 e requisiti delle evidenze

Due diligence privacy e assurance di sicurezza

Contratti con i responsabili del trattamento e istruzioni del cliente documentate

Approvazione dei sub-responsabili, informative e obblighi a cascata

Monitoraggio continuativo, collegamento agli incidenti e registrazioni dei trasferimenti

Evidenze di cessazione, restituzione, cancellazione e azione correttiva

Conformità ai framework

🛡️ Standard e framework supportati

Questo prodotto è allineato ai seguenti framework di conformità, con mappature dettagliate di clausole e controlli.

Framework Clausole / Controlli coperti
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Politiche correlate

Politica sull’inventario dei trattamenti e sulla base giuridica

Le registrazioni dei rapporti in REG08 devono essere collegate all’inventario dei trattamenti REG02 e alle registrazioni delle basi giuridiche ove applicabile.

Politica di valutazione del rischio privacy e DPIA

I rapporti ad alto rischio con responsabili del trattamento e le modifiche sostanziali in materia di privacy relative a terze parti attivano la valutazione del rischio privacy e lo screening DPIA in REG04.

Politica di conservazione, cancellazione e smaltimento

I contratti e le cessazioni relativi ai responsabili del trattamento e ai sub-responsabili devono trattare restituzione, cancellazione, smaltimento ed evidenze di transizione tramite PII10.

Politica sui trasferimenti internazionali

Le sedi di trattamento, le sedi di hosting e gli indicatori di trasferimento in REG08 devono collegarsi alle evidenze di trasferimento REG09 applicabili.

Politica di sicurezza e controllo degli accessi

Assurance di sicurezza, evidenze del controllo degli accessi, accesso dei fornitori e controlli di offboarding supportano la governance dei dati personali presso terze parti.

Politica di gestione degli incidenti e delle violazioni

Le notifiche di incidenti privacy connessi ai fornitori e le richieste di assistenza sono indirizzate a REG10 ai sensi di PII15 con collegamento a REG08.

Informazioni sulle Policy Clarysec - Politica di gestione della privacy dei responsabili del trattamento, dei sub-responsabili e delle terze parti

Questa politica stabilisce la governance operativa della privacy per i responsabili del trattamento, i sub-responsabili, i responsabili del trattamento subappaltati per dati personali, i fornitori, i prestatori di servizi, i fornitori di servizi cloud e altre terze parti che trattano o incidono sui dati personali nell’ambito di applicazione del PIMS. Definisce come i rapporti sono classificati, valutati, approvati, contrattualizzati, istruiti, monitorati, modificati e cessati, con REG08 come elemento di evidenza principale e con i collegamenti richiesti all’inventario dei trattamenti, alle registrazioni del rischio, dei trasferimenti, degli incidenti, delle comunicazioni, delle informazioni documentate e delle azioni correttive ove applicabile.

Ambito dei rapporti definito

Copre i responsabili del trattamento, i sub-responsabili, i subappaltatori, i fornitori, i prestatori di servizi, i fornitori cloud e altre terze parti che trattano dati personali.

Due diligence prima dell’approvazione

Richiede due diligence privacy, assurance di sicurezza e screening del rischio o DPIA prima dell’approvazione, quando attivati.

Controlli su contratti e istruzioni

Documenta in REG08 contratti con responsabili del trattamento, istruzioni del cliente, obblighi a cascata e modifiche approvate.

Monitoraggio e applicazione

Stabilisce frequenze di riesame, gestione delle eccezioni, regole di blocco, presupposti di non conformità ed evidenze di azione correttiva.

Domande frequenti

Creato per Leader, dai Leader

Questa policy è stata redatta da un leader della sicurezza con oltre 25 anni di esperienza nell’implementazione e nell’audit di framework ISMS per organizzazioni globali. È progettata non solo come documento, ma come un framework difendibile che resiste alla verifica degli auditor.

Redatto da un esperto in possesso di:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Copertura & Argomenti

🏢 Dipartimenti target

Privacy Legale Conformità Sicurezza IT Approvvigionamento

🏷️ Copertura tematica

Gestione delle terze parti responsabilità del titolare del trattamento e del responsabile del trattamento trattamento dei dati personali registrazioni dei trattamenti trasferimenti internazionali di dati gestione del rischio gestione della conformità
€89

Acquisto una tantum

Download immediato
Aggiornamenti a vita

Questa policy è 1 di 25 nel Pacchetto PIMS ISO/IEC 27701 completo

Risparmia il 52%

Ottieni tutte le 25 policy PIMS, il set completo di registri e un piano di implementazione dettagliato per €799, invece di €1.675 acquistandole singolarmente.

Vedi Pacchetto 27701 completo →
Processor, Subprocessor and Third-Party Privacy Management Policy

Dettagli prodotto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Standard: 7