La reciente publicación en Agosto de 2019 de la nueva norma internacional ISO/IEC 27701:2019. Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, abre una ventana de oportunidad y resulta ser una herramienta de gestión de gran utilidad para la protección de los datos personales, ayudar a las organizaciones a administrar la información de privacidad y cumplir con los requisitos reglamentarios.

Este documento especifica los requisitos al tiempo que proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS) en forma de una extensión a ISO / IEC 27001 e ISO / IEC 27002 para la gestión de privacidad dentro del contexto de la organización.

Asimismo especifica los requisitos relacionados con el PIMS y proporciona orientación a los responsables y encargados de los datos personales (PII ó Personal Identification Information) que tienen la responsabilidad activa y que han de llevar a cabo la rendición de cuentas del tratamiento de la PII.

Pero como casi la práctica totalidad de las organizaciones procesan información de identificación personal, protegerla no solo es un requisito legal sino una necesidad social.

Como es habitual en este tipo de modelos internacionales, el estándar es aplicable a todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin ánimo de lucro, cuyos responsables y encargados tratan la PII dentro de un SGSI.

Estamos más conectados que nunca, lo cual trae consigo todas las alegrías y los posibles riesgos de nuestro mundo digital. La ciberseguridad es una preocupación creciente, con ataques contra las empresas que casi se han duplicado en los últimos años y que son una amenaza cada vez más importante para la estabilidad global, según el World Economic Forum, véase:

Executive Summary

Como era de esperar, las leyes y reglamentos se están implementando rápidamente para la reducción de estos riesgos y la protección de nuestra privacidad digital.

¿Cómo pueden las organizaciones mantenerse al tanto de estos requisitos y protegerse al mismo tiempo?

Proteger nuestra privacidad digital es una preocupación comercial importante. Según IBM, el costo promedio de una violación de datos en 2017 fue de 3,6 millones de dólares (MUSD), y las obligaciones legales son cada vez más estrictas. Véase:

https://www.ibm.com/downloads/cas/ZYKLN2E3
 

A medida que nos conectamos más, los gobiernos de todo el mundo están introduciendo varias regulaciones de privacidad, como el RGPD en la UE, al que las organizaciones deben adherirse. Las nuevas normas ISO ayudarán a las empresas a cumplir dichos requisitos, independientemente de la jurisdicción en la que trabajen.

Según el INCIBE, véase:

https://www.incibe.es/protege-tu-empresa/blog/conoces-nueva-norma-gestion-privacidad

¿Cómo contribuye al trabajo de responsables y encargados de tratamientos de datos personales?

Además, este estándar describe un marco para ayudar a reducir los riesgos de privacidad en los tratamientos de datos personales o información de identificación personal (PII), es decir, de aquella información o datos que identifican o podrían servir para identificar a una persona. Esta norma está diseñada para su uso por responsables y encargados del tratamiento de datos personales. Además cuenta con un anexo que mapea los distintos controles con el RGPD. Estas son algunas áreas en las que la ISO 27701 contribuye al trabajo de los responsables y encargados de la protección de la privacidad:

• Aporta garantías de seguridad sobre los tratamientos de los datos personales.
• Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
• Controla la existencia de mecanismos para la notificación de brechas de privacidad.
• Establece roles y responsabilidades claras sobre los tratamientos.
• Mejora la gestión de contratos con encargados del tratamiento.
• Verifica el registro de actividades de los tratamientos.
• Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
• Garantiza que se permite a los propietarios de los datos personales el ejercicio de sus derechos sobre los mismos.
• Aporta transparencia a los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.

¿Qué empresas pueden certificarse en la ISO 27701?

Las empresas que ya hayan implementado en su organización la norma ISO 27001 podrán utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su compromiso con la seguridad de la información y con el cumplimiento de las leyes en materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se convertirá en una ventaja competitiva.

Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, o SGSI, y quieran certificarse tendrán que implementar conjuntamente la ISO 27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.

Adicionalmente, esta normativa es aplicable a todo tipo de organizaciones, sin importar su tamaño o sector al que pertenezcan, incluyendo empresas tanto de ámbito público, como privado u organizaciones gubernamentales o sin ánimo de lucro.

Si además de cumplir con la legalidad vigente, quieres reforzar la privacidad de los datos personales que maneja tu organización, utiliza las certificaciones existentes en materia de protección de la privacidad. Contribuirás a fomentar la seguridad de tus datos y reforzarás tu imagen y reputación, lo que se convertirá en un factor diferencial con respecto a la competencia.

¿Qué relación tiene la ISO/IEC 27701 con el RGPD?

Según el Artículo 24.3 del RGPD:

“La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por lo que, el RGPD ha incluido esta posibilidad mediante la incorporación del artículo 42 del RGPD que señala en su apartado 1 que

“1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados”.

En este sentido, la ISO/IEC 27701 completa la creación de la serie de estándares de seguridad de la información de la familia ISO/IEC 27000:

• ISO/IEC 27001, norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones.
• ISO/IEC 27002, proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.

Por tanto la ISO/IEC 27701 especifica los aspectos sobre privacidad que hay que gestionar para que la organización genere evidencias de un adecuado cumplimiento de las leyes en materia de privacidad.

La condición necesaria pero no suficiente para ello, es que para aplicarse es preciso como hemos dicho, que la organización previamente disponga de un Sistema de Gestión de Seguridad de la Información en base al modelo de la norma internacional ISO/IEC 27001.

Una de las ventajas que ofrece esta nueva certificación radica en que la organización podrá compatibilizar el cumplimiento en materia de seguridad de la información y privacidad, ya que posibilita integrar la normativa en materia de protección de datos del país donde se implemente y reforzar las medidas técnicas y organizativas, aportando una herramienta de mejora continua y un sistema de gestión integrado.

Asimismo, permite la gestión de los controles de privacidad, a fin de reducir el riesgo para los derechos de privacidad de las personas.

El estándar ISO / IEC 27701 ha sido desarrollado por el grupo de trabajo 5 del comité técnico ISO / IEC ISO / IEC JTC1 / SC 27, Seguridad de la información, ciberseguridad y protección de la privacidad, que está compuesto por expertos de todo el mundo de las autoridades de protección de datos, seguridad agencias, academia e industria.

Matthieu Grall, de la Commission Nationale de l’Informatique et des Libertés, el organismo de control independiente francés para la protección de datos personales, participó activamente en el SC 27 y contribuyó al desarrollo de la norma. Con requisitos y leyes de protección de datos cada vez más estrictos, afirma que

“Existe una necesidad real de este estándar. A pesar de los riesgos de no cumplir con estas regulaciones, sabemos que muchas organizaciones simplemente no están listas y necesitan orientación. Con la cantidad de quejas y multas relacionadas con la privacidad y la protección de datos en aumento, la necesidad de este estándar ahora es obvia”.