Recientemente ha sido publicada la norma UNE-EN ISO/IEC 27701, traducción al español de la norma ISO/IEC 27701: Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices (ISO/IEC 27701:2019).
Con ella, han llegado al mercado castellano los Sistemas de Gestión de la Privacidad de la Información (SGPI). Con este estándar, se prevé el cumplimiento de los requisitos impuestos por el artículo 42 del Reglamento General de Protección de Datos (RGPD). De esta forma, se prevé que se convierta en el primer mecanismo de certificación que permita a una organización demostrar el cumplimiento de la normativa de protección de datos; así como de únicamente determinados activos o sistemas que la componen.
¿Qué es la certificación ISO 27701?
La certificación ISO 27701 es una extensión de la norma ISO/IEC 27001, que se centra específicamente en el Sistema de Gestión de Información de Privacidad (PIMS). La ISO 27701 establece los requisitos para implementar y mantener un sistema de gestión de la información de privacidad eficaz en una organización. Esta certificación se centra en la protección de los datos personales y la privacidad de los individuos, lo que es crucial en un entorno en el que la protección de la información sensible es cada vez más importante.
Al obtener la certificación ISO 27701, una organización demuestra su compromiso con el cumplimiento de los requisitos de privacidad y protección de datos. Esto incluye la implementación de controles y medidas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales, así como la mejora continua de los procesos relacionados con la gestión de la información de privacidad.
La certificación ISO 27701 ayuda a las organizaciones a fortalecer su postura en materia de privacidad y seguridad de la información, lo que a su vez puede aumentar la confianza de los clientes y las partes interesadas. Además, la certificación puede ayudar a diferenciar a una organización de sus competidores al demostrar su compromiso con la protección de la privacidad de los datos y el cumplimiento de los estándares internacionales reconocidos.
Sin embargo, es importante tener en cuenta que la obtención de la certificación ISO 27701 no es un proceso simple y requiere un esfuerzo significativo por parte de la organización. Implica una evaluación exhaustiva de los procesos de gestión de la información de privacidad existentes, así como la implementación de mejoras y controles adicionales para cumplir con los requisitos establecidos por la norma. Además, mantener la certificación requiere un compromiso continuo con la mejora y el cumplimiento de los estándares de privacidad y seguridad de la información en el tiempo.
Relación de la ISO 27701 con la ISO/IEC 27001 y 27002
La certificación ISO 27701 complementa la norma ISO/IEC 27001 y la guía de buenas prácticas de la ISO/IEC 27002 al ofrecer un marco específico para el manejo de la información de privacidad en una organización. Dado que la ISO/IEC 27001 establece los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI), y la ISO/IEC 27002 proporciona una guía detallada de controles de seguridad, la ISO 27701 entra en juego para ampliar estos requisitos y controles hacia la protección de datos personales y la privacidad.
Al extender los requisitos de la ISO/IEC 27001, la ISO 27701 proporciona una estructura más detallada y específica para la gestión de la información de privacidad. Esto implica incorporar controles y prácticas adicionales que se centran en aspectos específicos relacionados con la protección de datos personales y la privacidad de los individuos.
Además, la ISO 27701 proporciona pautas y directrices claras para implementar y mantener un Sistema de Gestión de Información de Privacidad (PIMS), lo que ayuda a las organizaciones a establecer una estructura sólida para identificar, gestionar y minimizar los riesgos asociados con la información de privacidad. Esto incluye aspectos como la gestión de consentimientos, la transparencia en el tratamiento de datos, la minimización de datos y el manejo adecuado de las solicitudes de los titulares de los datos.
Al ampliar y adaptar los controles y requisitos de la ISO/IEC 27001 y la ISO/IEC 27002, la ISO 27701 garantiza que las organizaciones tengan un marco integral para abordar tanto la seguridad de la información en general como la protección de la privacidad y los datos personales en particular. Esto ayuda a las organizaciones a cumplir con las regulaciones de privacidad y protección de datos, fortalecer su postura en materia de privacidad y seguridad, y aumentar la confianza de los clientes y otras partes interesadas en su capacidad para proteger la información sensible.
Asimismo, implanta nuevas exigencias, en función de la figura que adopte la organización: Responsable del Tratamiento; Encargado del Tratamiento; o ambas.
Entre estas nuevas obligaciones, podemos encontrar determinadas condiciones que deben ser cumplidas a la hora de recoger los datos personales; controles orientados a asegurar la legalidad del tratamiento; a garantizar que se respetan los derechos de los interesados; a garantizar que se satisface el deber de privacidad desde el diseño y por defecto… Tal y como se puede observar, todas ellas tienen una clara orientación a evitar cualquier vulneración de lo dispuesto por el RGPD. Desde Key Auditors, como expertos en privacidad y Sistemas de Gestión, podemos ayudar a tu organización al cumplimiento de los controles de esta norma, a través de nuestro servicio de auditoría.