Inicio / Protege tu empresa / Blog / ¿Conoces la nueva norma para la gestión de la privacidad?

¿Conoces la nueva norma para la gestión de la privacidad?

Publicado el 10/10/2019, por INCIBE
¿Conoces la nueva norma para la gestión de la privacidad?

Nos encontramos inmersos en una revolución digital donde la aparición de servicios personalizados relacionados con las TIC está a la orden del día. Es común que a través de Internet y desde el móvil podamos concertar una cita médica, trabajar con banca electrónica, comprar en una tienda online, contestar correos de trabajo, comunicarnos en redes sociales con nuestros clientes, etc. Todo esto ha provocado la recopilación y procesamiento de una cantidad de datos personales nunca vista hasta ahora, cuya progresión es ascendente, debido al constante desarrollo de nuevos servicios digitales. 

Nuestra continua actividad a través de la red hace que estemos entregando regularmente nuestros datos personales y exponiendo los datos personales que tratamos de terceros, en la mayoría de los casos, sin tan siquiera pensarlo. Por este motivo, se han desarrollado recientemente nuevas leyes y normas cuyo principal objetivo es regular el tratamiento de datos personales para garantizar una mayor protección de los mismos.

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) se convirtió en una normativa de obligado cumplimiento para todas las empresas ubicadas en los países miembros o que traten datos personales de personas en la Unión Europea. Esta normativa ha sido adaptada a la legislación española con la entrada en vigor el pasado 5 de diciembre de 2018 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Adicionalmente a estas normas enmarcadas en el sistema jurídico, y que por tanto son de obligado cumplimiento, existen otro tipo de estándares o recomendaciones, cuyo objetivo es ayudar a empresas y organizaciones a verificar que cumplen con las leyes y demostrar que realizan un correcto tratamiento y protección de los datos personales de sus clientes, empleados y colaboradores. Además, su cumplimiento es en ocasiones certificable, es decir, es posible obtener una certificación que demuestra un verdadero compromiso con su cumplimiento. 

En esta línea, la International Organization for Standardization, conocida como ISO, junto con la International Electrotechnical Commission o EIC, han creado una serie de estándares de seguridad de la información (la familia 27000). Así, en 2005, la norma ISO 27001 se convirtió en una norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones. Esta norma se ha tomado como punto de partida para el desarrollo de normas que verifiquen el cumplimiento del RGPD, ya que ampara los datos de clientes o proveedores ya se encuentren en activos digitales o impresos de cualquier organización. Junto a esta, la norma ISO 27002 proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma. 

Ante la necesidad de certificar la gestión de la privacidad en el entorno empresarial, como extensión de las normas 27001 y 27002, el pasado mes de agosto nació la ISO / IEC 27701: 2019

¿Qué es la ISO / IEC 27701: 2019?

La ISO 27701 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS). Esta normativa se basa en los requisitos, controles y objetivos de la norma ISO 27001: Requisitos de Sistemas de Gestión de Seguridad de la Información (SGSI). En este sentido, comentábamos en este blog las sinergias entre la ISO27001 y el RGPD, detallando las actividades que afectan a la privacidad y cómo tener Tu Plan Director de Seguridad (PDS) es esencial para cumplir el RGPD

¿Cómo contribuye al trabajo de responsables y encargados de tratamientos de datos personales?

Además, este estándar describe un marco para ayudar a reducir los riesgos de privacidad en los tratamientos de datos personales o información de identificación personal (PII), es decir, de aquella información o datos que identifican o podrían servir para identificar a una persona. Esta norma está diseñada para su uso por responsables y encargados del tratamiento de datos personales. Además cuenta con un anexo que mapea los distintos controles con el RGPD. Estas son algunas áreas en las que la ISO 27701 contribuye al trabajo de los responsables y encargados de la protección de la privacidad:

  • Aporta garantías de seguridad sobre los tratamientos de los datos personales.
  • Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
  • Controla la existencia de mecanismos para la notificación de brechas de privacidad.
  • Establece roles y responsabilidades claras sobre los tratamientos.
  • Mejora la gestión de contratos con encargados del tratamiento.
  • Verifica el registro de actividades de los tratamientos.
  • Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
  • Garantiza que se permite a los propietarios de los datos personales el ejercicio de sus derechos sobre los mismos.
  • Aporta transparencia a los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.

¿Qué empresas pueden certificarse en la ISO 27701? 

Las empresas que ya hayan implementado en su organización la norma ISO 27001 podrán utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su compromiso con la seguridad de la información y con el cumplimiento de las leyes en materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se convertirá en una ventaja competitiva.

Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, o SGSI, y quieran certificarse tendrán que implementar conjuntamente la ISO 27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.

Adicionalmente, esta normativa es aplicable a todo tipo de organizaciones, sin importar su tamaño o sector al que pertenezcan, incluyendo empresas tanto de ámbito público, como privado u organizaciones gubernamentales o sin ánimo de lucro. 

Si además de cumplir con la legalidad vigente, quieres reforzar la privacidad de los datos personales que maneja tu organización, utiliza las certificaciones existentes en materia de protección de la privacidad. Contribuirás a fomentar la seguridad de tus datos y reforzarás tu imagen y reputación, lo que se convertirá en un factor diferencial con respecto a la competencia.