ISO 27701 2019. ¿Cómo llevar a cabo la gestión de la privacidad?
ISO 27701 2019
Nos encontramos inmersos en una revolución digital en la que la aparición de servicios personalizados que se relacionan con las TIC se encuentra a la orden del día. Es muy común, que mediante Internet y desde el móvil podamos realizar diferentes actividades, como trabajar con la banca electrónica, realizar compras, responder correos electrónicos, utilizar redes sociales, etc. Todo esto genera la recopilación y procedimiento de una elevada cantidad de datos personales que nunca antes ha sido vista hasta ahora, cuya progresión es ascendente, debido al constante desarrollo de nuevos servicios digitales.
La actividad que realizamos de forma diaria en la red hace que, de forma constante, entreguemos nuestros datos personales y expongamos los datos personales que tratamos de terceros, en la gran parte de los casos, sin saberlo. Por este motivo, se han llevado a cabo nuevas leyes y normas que tienen el principal objetivo de regular el tratamiento que realiza de los datos personales, con el fin de garantizar una mayor protección de éstos.
Desde el día 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) se ha convertido en una normativa de obligado cumplimiento para todas las organizaciones que se encuentren ubicadas o que traten datos de personas de la Unión Europea.
Esta normativa ha sido adaptada a la legislación española con la entrada en vigor del pasado 5 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
De forma adicional, estas normas se encuentran enmarcadas en el sistema jurídico, y por lo tanto son de obligado cumplimiento, existen otro tipo de estándares o recomendaciones, cuyo objetivo es ayudar a las organizaciones y a las empresas a verificar que cumplen con las leyes y demostrar que llevan a cabo un correcto tratamiento y protección de los datos personales de sus clientes, empleados y colaboradores. Además, se puede obtener un certificado que demuestre el compromiso que existe de cumplimiento.
Así, como la norma ISO 27001 se convirtió en una norma internacional de referencia para gestionar y garantizar la seguridad de la información en organizaciones. Esta ha sido la norma utilizada para el desarrollo de normas que verifiquen el cumplimiento del RGPD, ya que ampara los datos de clientes o proveedores ya que se encuentran en activos digitales o impresos de cualquier empresa. La norma ISO 27002 establece una serie de buenas prácticas para realizar la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.
Ante la necesidad de certificar la gestión de privacidad en el entorno empresarial, como extensión de las normas ISO 27001 e ISO 27002, por este motivo nació la ISO 27701 2019.
¿Qué es la ISO 27701 2019?
La norma ISO 27701 2019 establece todos los requisitos necesarios para implementar, mantener y mejorar de forma continua un Sistema de Gestión de Información de Privacidad. La normativa se basa en los requisitos, controles y objetivos de la norma ISO 27001.
¿Cómo se establece el trabajo de los responsables de tratamientos de datos personales?
La norma ISO 27701 describe un marco con el que ayudar a minimizar los riesgos de privacidad en los tratamientos de datos personales o información de identificación personal (PII), es decir, de la información o datos que identifican o podrán servir para identificar a una persona. La norma se encuentra diseñada para la utilización por parte de responsables y encargados del tratamiento de datos personales. Además, tienen un anexo que establece los controles para el RGPD. Presenta algunas de las áreas en las que la ISO 27701 contribuye al trabajo de los responsables de protección de datos personales:
- Aporta garantías de seguridad sobre los tratamientos de los datos personales.
- Incorpora la gestión de la privacidad en la gestión de los riesgos de la organización.
- Controlar la existencia de mecanismos para que se notifiquen las brechas de privacidad.
- Establece roles y responsabilidades claras sobre los tratamientos.
- Mejora la gestión de contratos con encargados del tratamiento.
- Verifica el registro de actividades de los tratamientos.
- Contribuye a implantar la privacidad por diseño y por defecto en los tratamientos.
- Garantiza que se permite a los propietarios de los datos personales el ejercicio de los derechos sobre los mismos.
- Transparencia para los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.
¿Qué organizaciones se pueden certificar en la ISO 27701?
Las organizaciones que ya tengan implantado en su empresa la norma ISO 27001 pueden utilizar una nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que se manejan, ampliando el alcance de su sistema de gestión. Esto podrá ayudar a que se mejore la reputación e imagen de la organización, ya que se ve incrementado el compromiso por parte de la empresa en la seguridad de la información al cumplir con las leyes de RGPD o la LOPDGDD, lo que lo convierte en una ventaja competitiva.
Para las empresas que no tengan implementado un sistema de gestión de seguridad de la información, y se quieren certificar deberán implementar de forma conjunta la ISO 27001 y la ISO 27701. Esto es porque la nueva normativa es una extensión de los requisitos que presenta la ISO 27001.
Además, la normativa se aplica a todo tipo de organizaciones, sin importar el tamaño o el sector al pertenezca, incluyendo empresa tanto de ámbito público, como privado u organizaciones gubernamentales o sin ánimo de lucro.
Si tiene que cumplir con la legalidad vigente y quieres reforzar la privacidad de los datos personales que maneja tu empresa, se deben utilizar las certificaciones existentes en materia de protección de la privacidad. Con esto se contribuye a fomentar la seguridad de los datos y reforzará la imagen y reputación, lo que se convierte en un factor diferencial con respecto a la competencia.
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.