Global Technology

La protección de datos personales es un pilar fundamental de nuestra seguridad y un derecho fundamental, de acuerdo con la Carta de los Derechos Fundamentales de la Unión Europea. Por tanto, una correcta implantación de un sistema de protección en nuestra empresa determinará nuestro cumplimiento normativo, nos evitará sanciones económicas y beneficiará nuestra imagen corporativa. En este sentido, resulta fundamental adoptar acciones suficientes y correctas, lo cual puede convertirse en un reto para muchas organizaciones. Por ello, en este post abordamos cómo hacerlo de acuerdo con un estándar internacional con reconocimiento global.

 

¿Qué es la ISO 27701?

En primer lugar, debemos comprender qué son los datos personales. Según el Reglamento general de protección de datos (RGPD), son toda aquella información sobre una persona física identificada o identificable.

En otras palabras, la información que nos permite saber quién es un individuo. Por ejemplo, su nombre, dirección, número de identificación, teléfono o cuenta bancaria, entre otros. Estos datos los podemos encontrar en los contratos y nóminas de nuestros empleados, en registros de clientes, en correos electrónicos y en otros muchos documentos que utilizamos en el día a día.

Por su parte, la norma ISO 27701 es un estándar internacional que establece requisitos y orientación para que implantemos un Sistema de Gestión de la Privacidad de la Información. Aunque es de carácter voluntario, es muy recomendable implantarlo. Esto se debe a que se basa en RGPD y es conforme a la Ley de Protección de Datos Personales (LOPDGDD).

Por tanto, si cumplimos con los requisitos de la ISO 27701, contaremos con pruebas que nos permitirán evidenciar ante clientes, partners y autoridades públicas que tratamos adecuadamente los datos de carácter personal de acuerdo con la normativa vigente.

Está particularmente dirigida al sector privado. En tanto que se fundamenta en gran parte en el RGPD, resulta especialmente interesante para aquellas organizaciones de derecho privado que manejen datos de ciudadanos de la Unión Europea como parte de su actividad. Se exceptúa su aplicación en los casos recogidos en el art. 2.2. RGPD y LOPDGDD.

 

Características de la norma

La ISO 27701 es una extensión certificable de la ISO 27001 de Seguridad de la Información. En otras palabras, se parte del Sistema de Gestión de Seguridad de la Información (SGSI) que prevé la ISO 27001 para implantar esta norma, ya que en muchos casos toma los requisitos de la ISO 27001 y los complementa con controles específicos de privacidad de la información.

Esta norma destaca por su enfoque holístico hacia la privacidad. Integra principios de la privacidad desde el diseño y responsabilidad activa, evaluando riesgos y asegurando transparencia en el manejo de datos personales. Se divide en cuatro capítulos:

  1. Capítulo 5: Requisitos de gestión sobre privacidad de la información. Éstos se refieren a las políticas, procesos y procedimientos corporativos cuyo objetivo es dirigir y controlar nuestra operativa diaria.
  2. Capítulo 6: Requisitos de seguridad sobre privacidad de la información. Éstos se centran en las medidas físicas y técnicas concretas que adoptamos para proteger la información.
  3. Capítulo 7: Requisitos adicionales para el responsable del tratamiento. Se considera responsable al individuo u organización que decide qué datos se recopilan, con qué propósito y cómo se utilizarán, así como las medidas de protección aplicables.
  4. Capítulo 8: Requisitos adicionales para el encargado del tratamiento. Un encargado trata datos personales, pero se limita a seguir las instrucciones que le da el responsable, sin decidir nada por él mismo.

caracteristicas ISO 27701

¿Cómo se aplica en la protección empresarial?

La flexibilidad propia de la normativa ISO hace imposible ofrecer un listado homogéneo de medidas que todas las empresas deban implantar para certificarse en la ISO 27701, ya que dependerá de las circunstancias específicas de cada una. Sin embargo, en términos generales, podemos señalar los siguientes elementos:

  • Políticas y procedimientos específicos relacionados con la protección de datos, como:
    • Política de protección y privacidad de datos
    • Alusiones específicas al tratamiento de datos personales en procedimientos corporativos, tales como gestión de incidentes o gestión de soportes.
  • Roles y responsabilidades específicos:
    • Designación de un Delegado de Protección de Datos, en caso de que se cumplan los requisitos del art. 37 RGPD y art.34 LOPDGDD.
  • Cláusulas de contractuales de protección de datos en las relaciones con terceros, como:
    • Acuerdos de confidencialidad (NDA).
    • Derecho de control de datos personales (ARCOPOL).
    • Consentimiento para el tratamiento de datos
  • Enfoque en la gestión del riesgo:
    • Metodología documentada de análisis de riesgos relativos al tratamiento de datos personales.
    • Criterios de valoración del riesgo.
    • Evaluación del riesgo.
    • Plan de tratamiento del riesgo.
  • Declaración de Aplicabilidad de los Anexos A y B de la ISO 27701, justificándose debidamente tanto el cumplimiento, como la posible exclusión de los controles.
  • Registro de Actividades de Tratamiento (RAT), donde detallemos cómo gestionamos y procesamos los datos, a menos que se nos aplique la excepción del art.30.5 RGPD.
  • Acciones de formación y concienciación relativas a la protección de datos para nuestros empleados, tales como píldoras de concienciación sobre la transferencia segura de información o charlas formativas sobre los principios clave de RGPD.
  • Medidas técnicas específicas:
    • Pseudonimización, anonimización y enmascaramiento de datos.
    • Cifrado de datos en reposo y en tránsito.
    • Recuperación de datos personales en backups.
    • Bloqueo de datos que ya no se estimen necesarios hasta el término del plazo de prescripción, salvo requerimiento judicial o administrativo.
  • Auditorías de cumplimiento, donde un tercero independiente examine nuestro grado de cumplimiento, e identifique posibles mejoras a nuestro Sistema de Privacidad.

 

¿Qué beneficios nos aporta la ISO 27701?

Adoptar la norma ISO 27701 en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:

  • Cumplimiento normativo: Nos aseguramos de estar alineados con la normativa europea y española de protección de datos.
  • Fomento de la confianza de clientes y posibles partners.
  • Protección de la imagen y reputación de la empresa.
  • Ahorro de tiempo y ventaja ante licitaciones: Nos facilita responder a los cuestionarios y funciona como garantía de cumplimiento de la protección de datos.
  • Reconocimiento internacional: El certificado nos brinda reputación a nivel internacional, ya que está reconocido globalmente.

Beneficios ISO 27001

¿Cuáles son las diferencias entre la ISO 27701 y el RGPD?

Si bien la ISO 27701 y el RGPD comparten el objetivo común de salvaguardar la privacidad, podemos señalar las siguientes diferencias:

  1. La ISO 27701 es una extensión de la ISO 27001 y está orientada al sector privado, mientras que el RGPD es una norma de Derecho público europeo aplicable tanto a empresas como a organizaciones del sector público.
  2. En segundo lugar, la ISO 27701 es una norma voluntaria. Por el contrario, el RGPD es una regulación legal vinculante aplicable a todas las organizaciones que manejan datos de ciudadanos de la Unión Europea. Como reglamento, tiene alcance general y eficacia directa en todos los países de la UE.
  3. En tercer lugar, la ISO 27701 ofrece un marco flexible y adaptable a las características y necesidades de cada empresa para la implementación de prácticas de privacidad, mientras que el RGPD establece derechos y obligaciones legales específicos.
  4. En cuarto lugar, la ISO 27701 aborda la privacidad como parte integral de un sistema de gestión de la seguridad de la información. Por otro lado, el RGPD se enfoca únicamente en los derechos de los individuos y las responsabilidades de las organizaciones en el tratamiento de datos personales.
  5. En quinto lugar, la ISO 27701 es certificable. Por el contrario, el RGPD prevé en su artículo 42 la posibilidad de que se creen mecanismos de certificación que demuestren su cumplimiento, pero no es certificable en sí.

 

Cómo obtener la certificación ISO 27701

Como ya hemos mencionado anteriormente, la ISO 27701 es una extensión certificable de la ISO 27001, y que debemos contar con un Sistema de Gestión de acuerdo con esta segunda para certificarnos en la primera. Esto lo podemos lograr de dos maneras:

  • Si ya estamos certificados en ISO 27001, podemos certificarnos en ISO 27701 de manera independiente.
  • Si estamos introduciendo la ISO 27001 en nuestra organización, podemos implantar la ISO 27701 de manera conjunta y certificarnos de ambas en un mismo proceso de auditoría.

El certificado se obtiene como resultado de una auditoría satisfactoria con una entidad certificadora acreditada, en la cual se examina el Sistema de Privacidad implantado a nivel teórico (políticas y procedimientos) y práctico (registros y medidas técnicas) a lo largo de 1-2 jornadas. Tiene una validez de 3 años.

Desde el departamento de GRC de Global Technology te ayudamos a implantar la norma ISO 27701 desde el punto en el que estés, hasta la obtención de la certificación. Te acompañamos durante todo el camino, y te asesoramos para analizar el estado, necesidades y riesgos de tu organización como base desde la que puedas tomar decisiones fundadas para elaborar juntos los procedimientos e implantar medidas técnicas que mejor se adapten a tus necesidades. También estamos contigo durante la auditoría y te ayudamos a solucionar cualquier discrepancia con la norma que pueda encontrar el auditor.

Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa de protección de datos, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia.