El verano de 2019 no ha sido un periodo inhábil para la creación de estándares internacionales. Dicho de otra manera, la Organización Internacional de Normalización no se fue de vacaciones. El 6 de agosto publicó la Norma ISO 27701:2019, como una extensión de la Norma ISO/IEC 27001 y de la guía de buenas prácticas ISO/IEC 27002 sobre Sistemas de Gestión de Seguridad de la Información.

Asumimos hoy que los datos son el nuevo combustible de la economía. Constatamos, día tras día, el poder de la tecnología en la transformación de los negocios y en los cambios sociales. Y no olvidamos el empoderamiento que están alcanzando, con el respaldo de las nuevas regulaciones, los individuos en su calidad de consumidores.

Los retos son muchos y variados y la protección de los datos de carácter personal es uno de los importantes. Los órganos legislativos, nacionales y supranacionales, conscientes del impacto de las nuevas tecnologías sobre los datos relativos a una persona física, han comenzado a decretar normativas encaminadas a proteger esta información.

Las organizaciones deben afrontar la ardua tarea de salvaguardar estos nuevos derechos y garantizar el tratamiento adecuado de los datos de carácter personal.

La ISO/IEC 27701

La ISO/IEC 27701 irrumpe en los estándares para ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal de las organizaciones. Cuando decimos organizaciones, estamos hablando de cualquier entidad, pública o privada, que maneje datos relativos a personas físicas identificadas o identificables y aquí, el matiz, es muy importante.

Como hemos dicho al principio, la norma se ha configurado como una extensión de la ISO/IEC 27001, beneficiándose de los procesos de seguridad que este estándar contempla.

Podríamos destacar cuatro características de ISO/IEC 27701:

1. Permite la integración de la gestión de la información de carácter personas con otros estándares.
2. Facilita el cumplimiento de las distintas normativas relacionadas con la protección de datos de carácter personal, como son el Reglamento General de Protección de Datos (RGPD), proveniente de las instituciones europeas, y la norma nacional, Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDgdd).
3. Establece diferentes requisitos en función del rol que desempeñe la organización en el tratamiento de los datos, ya sea como responsable del mismo o como encargado.
4. Permite certificar el cumplimento de las buenas prácticas en materia de gestión de datos de carácter personal.

Sistema de Gestión de la Privacidad de la Información (SGPI)

Es necesaria la existencia o desarrollo de un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a la ISO/IEC 27001. Los requisitos adicionales para la implantación del Sistema de Gestión de la Privacidad de la Información (SGPI) son los siguientes:

• Una ampliación de los requisitos del cuerpo normativo de la ISO/IEC 27001.
• Una ampliación de los requisitos de algunos de los controles del citado estándar.
• La implantación de nuevos controles de seguridad tanto en el caso de los responsables como de los encargados de tratamiento.

En Secure&IT llevamos diez años ayudando a las organizaciones a implantar la ISO/IEC 27001. En este sentido, recomendamos a nuestros clientes su integración con el nuevo estándar ISO 27701. Y, si todavía no has llevado a cabo la implantación de la 27001, podrías acometer ambas en un único proceso.

by