La organizaciones cada vez conocen más qué son los Sistemas de Gestión de privacidad. Entre ellos, adquieren cada vez más importancia los Sistemas de Gestión de Privacidad de la Información (SGPI), ofrecido por la ISO/IEC 27701. Esto se debe a la evolución del entorno en el que nos movemos: uso de tecnologías cada vez más avanzadas; tratamiento de datos personales, tanto de empleados como de usuarios y clientes; desarrollo de aplicaciones o herramientas propias…

Sin embargo, todavía se desconoce la verdadera importancia de los mismos.

Comprensión de los sistemas de gestión de privacidad

En primer lugar, nos permite comprender y conocer nuestra organización y sus necesidades. De esta forma, gracias al estudio previo a la implantación de un SGPI, podemos:

  • Establecer los objetivos y requisitos de seguridad.
  • Implementar los controles y medidas adecuadas para la consecución de los objetivos y requisitos.
  • Controlar el rendimiento -y mejorarlo-, de los controles implementados.

Responsabilidad proactiva

Entre las obligaciones impuestas por el RGPD, se encuentra la responsabilidad proactiva: solo se debe cumplir con la normativa, sino también demostrarlo. Esto lo hace el SGPI a través de la gestión documental, de la que ya hemos hablado.

Enfoque basado en los riesgos

Dispone el artículo 24 RGPD que el tratamiento de los datos personales, así como las medias de seguridad para su protección, debe tener en cuenta:

“la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”

Es lo que se conoce como el enfoque basado en los riesgos, metodología seguida por el SGPI de la ISO/IEC 27701.

Privacidad desde el Diseño y por Defecto

El RGPD también obliga:

  • A implementar, desde que se plantea un tratamiento, las medidas técnicas y organizativas adecuadas para asegurar en todo momento los derechos de los interesados (Privacidad desde el Diseño); y
  • A aplicar las medidas técnicas y organizativas adecuadas para que únicamente sean objeto de tratamiento los datos personales que sean necesarios para la consecución de la finalidad perseguida (Privacidad por Defecto).

La certificación en la ISO/IEC 27701 crea los controles necesarios para asegurar el cumplimiento de estas disposiciones, protegiendo desde el primer momento los derechos de los interesados.

En Key Auditors, como auditores especialistas en Sistemas de Gestión de Privacidad de la Información, podemos ayudar a tu empresa a la correcta implementación de la ISO/IEC 27701. Además, también somos expertos en otros ámbitos como Seguridad de la Información, PBCFT o Compliance Penal, lo que nos permite ofrecerte un control global de todas tus actividades.