Muchas empresas buscan un certificado para demostrar que toman precauciones cuidadosas y eficaces en materia de protección de datos. El Reglamento General de Protección de Datos de la UE también prevé la certificación de protección de datos. Con ISO 27701, en agosto de 2019 se publicó una nueva norma para demostrar la aplicación de la normativa de protección de datos. Esta nueva norma internacional ahora también es certificable.
CONTENIDO
Idealmente, la gestión de la protección de datos se diseña con la ayuda de una norma internacional, en tándem con la ISO 27001.. La conocida norma ISO/IEC 27001 trata de los requisitos de un sistema de gestión de la seguridad de la información (SGSI) y también puede certificarse para este ámbito de aplicación. La nueva norma ISO/IEC 27701 para la gestión de la protección de datos se basa en la ISO 27001 y le añade criterios de protección de datos. Esta ampliación integra los requisitos de un sistema de gestión de la información sobre protección de datos (DSMS o Privacy Information Management System, PIMS) en un SGSI.
El título completo de la norma internacional de protección de datos es:
ISO/IEC 27701:2019 - Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines.
La norma está disponible en el sitio web de ISO.
Al igual que la norma ISO 27001, la norma ISO 27701 también tiene en cuenta el enfoque del sistema de gestión y hace referencia a la estructura básica de las normas modernas de sistemas de gestión, la Estructura de Alto Nivel (HLS).
Stephan Rehfeld, experto en protección de datos y auditor de DQS
La nueva norma internacional forma parte de la ISO 29100, que contiene todos los principios de protección de datos. Inicialmente iba a titularse ISO 27552, pero luego pasó a llamarse ISO 27701. El trasfondo es la decisión de la Organización Internacional de Normalización (ISO) de que todas las normas certificables importantes terminen en 01.
En lugar de "seguridad de la información", la nueva norma de protección de datos habla de "seguridad de la información y protección de datos". Además, hay adiciones al contenido. Por ejemplo, al considerar el contexto de la organización, se exige la inclusión de las leyes de protección de datos y las resoluciones judiciales pertinentes. Asimismo, en la evaluación de riesgos deben tenerse en cuenta los criterios para el tratamiento de datos personales, teniendo siempre presente la protección de las personas afectadas y una posible evaluación de impacto.
Además, la norma ISO 27701 incluye suplementos a la norma ISO 27002, la guía para aplicar las medidas del Anexo A de la norma ISO 27001.
La norma ISO también ofrece las siguientes orientaciones sobre la gestión de la protección de datos:
Laprotección de datos en el contexto de la seguridad de la información: ¿un tema apasionante? Más información sobre la norma ISO 27701 en nuestro Libro Blanco gratuito.
El anexo de la norma ISO 27701 contiene una tabla detallada de asignación de medidas a los requisitos del GDPR. Aquí queda clara la influencia del Reglamento General de Protección de Datos de la UE en esta norma internacional para la protección de datos.
Los sistemas de gestión de la seguridad de la información (SGSI) y los sistemas de gestión de la información sobre privacidad (SGIP) están estrechamente interrelacionados.
La privacidad y la seguridad de la información tienen que ver con los datos personales. La serie de normas ISO 27000 trata principalmente sobre la protección de la información, siendo los datos personales un subconjunto. Entonces, ¿la perspectiva determina si algo es una violación de datos o un incidente de seguridad de la información, o incluso ambos?
Stephan Rehfeld, experto en protección de datos y auditor de DQS
Donde en las normas ISO 27001 o ISO 27002 se utiliza el término "seguridad de la información", en la ISO 27701 se denomina "seguridad de la información y protección de datos". Esta adición hace que la protección de datos forme parte del sistema de gestión de la seguridad de la información.
Sin embargo, también hay desviaciones en las que un PIMS funciona de forma diferente a un SGSI. Un ejemplo: la diferente comprensión del contexto de la organización. En la ISO 27701, en la cláusula 4.1, hay un requisito adicional a la ISO 27001 que dice que "la organización debe definir su papel como parte responsable o controlador conjunto para responsabilidades compartidas y/o como procesador por contrato."
Este requisito no está presente en el Sistema de Gestión de la Seguridad de la Información porque el SGSI no reconoce la distinción entre "Controlador" y "Procesador". En consecuencia, la norma ISO 27701 contiene dos anexos adicionales con medidas específicas de protección de datos para "responsables del tratamiento" y "encargados del tratamiento".
La norma ISO 29100 define los principios de protección de datos que debe cumplir el sistema de gestión propio de la empresa. El artículo 5 del Reglamento General de Protección de Datos (RGPD) muestra los objetivos de protección de datos que deben alcanzarse con los artículos operativos del RGPD. Los principios y objetivos son en gran medida congruentes. Esto se debe a que la OCDE definió los objetivos de protección de datos en 1980. Estos sirvieron de base tanto para la norma ISO 29100 como para el GDPR.
En el Sistema de Gestión de la Seguridad de la Información (SGSI) se encuentran los objetivos de confidencialidad, integridad y disponibilidad. Esto también se encuentra en el artículo 5 y en el artículo 32 del DS-GVO, respectivamente. Una diferencia importante, sin embargo, es la definición de "partes interesadas" en el SGSI. Esto incluye, por ejemplo, a los propios empleados de la empresa, clientes, proveedores, inversores o autoridades. En cambio, en la protección de datos, la parte interesada es únicamente el interesado.
Por lo tanto, la gestión de riesgos de protección de datos también difiere de la gestión de riesgos de seguridad de la información. En consecuencia, el SGSI no puede utilizarse uno a uno como PIMS con sus procesos específicos de protección de datos. No obstante, existen posibilidades de integración que permiten, por ejemplo, realizar auditorías internas conjuntas.
En términos de certificación, la nueva norma ISO 27701 complementará en el futuro a la ISO 27001, y será la primera norma que confirme la protección de datos mediante un certificado. Para ello, DQS se encuentra actualmente en proceso de acreditación ante el Organismo Alemán de Acreditación (DAkkS) y espera recibir la aprobación en breve. Dado que la norma ISO 27701 está concebida como una extensión de la norma ISO 27001, el sistema de gestión de la protección de datos conforme a la norma ISO 27701 no puede certificarse sin un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001.
Cualquiera que haya desarrollado e implantado un sistema sistemático de gestión de la protección de datos (PIMS) conforme a la norma ISO 27701 -en otras palabras, cualquiera que proteja y gestione sistemáticamente sus datos personales- lo tendrá fácil para garantizar y demostrar el cumplimiento de los requisitos legales. Las empresas pueden utilizar la nueva norma para establecer una seguridad de la información ampliamente conforme con la protección de datos y la protección de datos correspondiente.
Al aplicar la nueva norma ISO, las empresas no pueden evitar definir responsabilidades claras en el ámbito de la protección de datos. Esta ventaja no debe subestimarse. En la mayoría de las empresas que carecen de un sistema sistemático de gestión de la protección de datos, las responsabilidades se formulan con demasiada frecuencia de forma blanda por una cortesía mal entendida ("¿Podría hacerse cargo de esto en el futuro?"). O las responsabilidades se comparten, según el lema "¡Lo haremos juntos!". Ambas conducen inevitablemente a que al final nadie asuma la responsabilidad. Con un sistema de gestión de la protección de datos bien estructurado, hay directrices claras, y eso no tiene precio.
Stephan Rehfeld, experto en protección de datos y auditor de DQS
La nueva norma ISO no se basa únicamente en los principios del Reglamento General de Protección de Datos, sino que también pretende ayudar a las empresas a cumplir las normas mundiales de protección de datos. El objetivo es establecer, implantar, mantener y mejorar continuamente un PIMS.
Hay otro punto a favor de la integración de la ISO 27701 con la ISO 27001. Con la introducción de la ISO 27701, las empresas se ven prácticamente "obligadas" a adoptar un enfoque orientado al riesgo en la protección de datos personales. Esto incluye, por ejemplo, definir y evaluar plenamente los riesgos y estimar la probabilidad de que se produzcan.
Esta evaluación de riesgos constituye entonces el punto de partida para reducir el potencial concreto de daño a un nivel aceptable. Por cierto, también encontramos este enfoque maravillosamente pragmático de forma similar con el GDPR, de modo que el círculo también se cierra en términos de relevancia práctica.
Si quiere navegar con seguridad por los bancos de arena de las normativas nacionales e internacionales de protección de datos, no puede evitar abordar el tema de forma estructurada y sistemática. En este contexto, la norma ISO 27701 ofrece un gran valor añadido.
De este modo, la protección y la seguridad de los datos también pueden ser dominadas por las medianas empresas y proporciona un excelente plan para la protección de datos conforme a la normativa. Esto incluye una amplia colección de mejores prácticas que las empresas pueden utilizar para documentar con confianza que están ejerciendo la debida diligencia en el manejo de datos críticos.
¿Cuáles son los requisitos para obtener la certificación ISO 27701 y cuál es su coste? Descúbralo. Gratis y sin compromiso.
En la interacción de dinámica y estabilidad, los sistemas de gestión certificados son cada vez más importantes, un desarrollo que DQS percibe de forma positiva. Esto se debe a que las empresas y organizaciones de éxito utilizan los resultados de nuestras auditorías para mejorar continuamente sus resultados. También utilizan nuestros certificados reconocidos mundialmente como prueba objetiva de su capacidad de calidad. Esto genera confianza, tanto interna como externa a su empresa.
Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido de los textos o los servicios que ofrecemos a nuestros autores, póngase en contacto con nosotros.
Director de producto y experto en seguridad de la información y desarrollo de software. Holger Schmeken también aporta su experiencia como auditor de la norma ISO 27001 con competencia en el procedimiento de auditoría KRITIS y Jefe de Seguridad de la Información de DQS BIT GmbH.
