La Organización Internacional de Normalización ha publicado una norma para un sistema general de gestión de la protección de datos (DSMS) en 2019. La norma ISO/IEC 27701 describe un SGD basado en un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001. Esta forma especial de SGD se denomina sistema de gestión de la información personal (SGIP). A continuación se describen los fundamentos de este PIMS. En el proceso, se elaboran las cinco principales ventajas que un PIMS ofrece a las empresas. Los libros blancos gratuitos ofrecen más orientación sobre la aplicación práctica.
CONTENIDO
- Protección de datos y seguridad de la información
- ¿Qué es un sistema de gestión?
- La estructura de alto nivel como modelo para los sistemas de gestión
- Integración del RGPD en un sistema de gestión
- Cinco ventajas de la gestión de la protección de datos
- Protección de datos y seguridad de la información - Conclusión
- DQS: Simplemente aprovechando la calidad.
Protección de datos y seguridad de la información
Incluso en el contexto de la seguridad de la información, la protección de datos no es un proyecto único que se inicia, se ejecuta y se completa. Es exactamente lo contrario. La protección de datos operativa es una serie de procesos de protección de datos que deben estar permanentemente disponibles e implementados en las organizaciones, o que pueden ser activados por un disparador. Ejemplos importantes de ello son los dos procesos de protección de datos "garantizar los derechos de los interesados" y "responder a los incidentes de protección de datos".
En el mundo de la protección de datos, el uso de un sistema de gestión de la protección de datos (SGD) se considera la gran novedad para resolver los problemas de protección de datos de las organizaciones. ¿Por qué es así? La respuesta es relativamente sencilla:
Un sistema de gestión de la protección de datos es el marco y el motor de la protección de datos operativa al que las organizaciones deben adherirse permanentemente.
Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos europeo (GDPR) simplemente proporciona las reglas para el DSMS. Formula requisitos legales estrictos en cuanto a lo que está permitido o prohibido (Reglas de Negocio). Las sanciones de la DS-GVO (Ley Básica de Protección de Datos de Alemania) se derivan de esto. Sin embargo, no hace ninguna declaración sobre cómo aplicar los requisitos legales de protección de datos.
Protección de datos y seguridad de la información: ¿qué es un sistema de gestión?
La definición de un sistema de gestión es abstracta y no se puede operativizar ad hoc. La norma ISO/IEC 27000:2020 define un sistema de gestión como ...
"Conjunto de elementos interrelacionados e interactuantes de una organización (3.50) para establecer políticas (3.53), objetivos (3.49) y procesos (3.54) para lograr esos objetivos."
Sólo cuando los elementos de un sistema de gestión se hayan definido con más detalle se podrá afirmar si los estrictos requisitos legales y operativos de protección de datos del RGPD se cumplen con el sistema de gestión específicamente establecido. La afirmación de que se aplica un sistema de gestión de la protección de datos no da ninguna indicación de la calidad del SGD ni del estado de su aplicación.
La estructura de alto nivel como modelo para los sistemas de gestión
La Organización Internacional de Normalización (ISO) ha creado un modelo para los sistemas de gestión llamado Estructura de Alto Nivel (HLS). Esta estructura básica contiene todos los elementos que ISO considera relevantes para un sistema de gestión (Apéndice 2 del Anexo SL de las Directivas ISO/IEC, Parte 1). Por esta razón, los mecanismos básicos de las normas de los sistemas de gestión son muy similares.
El SGD específico de ISO, el Sistema de Gestión de la Información Personal(SGIP), tiene por tanto la misma base que un sistema de gestión de la calidad según ISO 9001, un sistema de gestión medioambiental según ISO 14001 o un sistema de gestión de la seguridad de la información según ISO 27001.
Protección de datos y seguridad de la información: integración del RGPD en un sistema de gestión
Un sistema de gestión de la protección de datos conforme a la norma internacional ISO/IEC 27701 es universal y no está adaptado únicamente al Reglamento General de Protección de Datos europeo. La norma describe un sistema de gestión de la protección de datos basado en un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001, lo que hace que la norma ISO 27701 sea adecuada para aplicar cualquier tipo de protección operativa de los datos personales, incluida la ley de protección de datos de California o Japón.
ISO/IEC 27701:2021-07- Técnicas de seguridad - Ampliación de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información sobre la privacidad - Requisitos y directrices (ISO/IEC 27701:2019).La norma está disponible en el Sitio web de la ISO.
PERO: A quienes han desarrollado e implantado un PIMS de acuerdo con la norma de protección de datos -es decir, a quienes protegen y gestionan sistemáticamente sus datos personales- les resulta fácil garantizar y demostrar el cumplimiento de los requisitos legales de protección de datos. Esto se hace a través del mecanismo del sistema de gestión de requisitos. La gestión de requisitos es el proceso de identificación y evaluación de los requisitos internos y externos y la aplicación de medidas para hacer frente a los riesgos.
¿Cuál es la diferencia entre la protección de datos y la seguridad de la información?
La diferencia fundamental entre ambos temas es sencilla: la seguridad de la información abarca todos los activos corporativos que hay que preservar y sirve para proteger la información empresarial confidencial del uso indebido por parte de terceros. Esto implica mucho más que los sistemas informáticos. Cuando se trata de la protección de datos, las medidas van dirigidas a proteger los datos personales. Desde mayo de 2018, el Reglamento General de Protección de Datos de la UE ha tenido que ser aplicado de forma vinculante en toda Europa - por todas las empresas y organismos públicos que procesan datos personales.
Cinco ventajas de la gestión de la protección de datos
En la interacción entre la seguridad de la información y la protección de datos, una norma debe entenderse siempre como una buena práctica. La aplicación concreta de los requisitos y medidas de seguridad de los datos debe ser realizada por el usuario.
La ventaja general del PIMS es la estandarización mundial a través de la norma de protección de datos y la amplia literatura sobre la aplicación de la norma. Hay que reconocer que es necesario "acostumbrarse" al lenguaje de las normas.
Ventaja nº 1: Asignación de responsabilidades
Parece que la cultura corporativa de las pequeñas y medianas empresas (PYMES) es asignar las responsabilidades de forma poco clara o no asignarlas en absoluto. Se puede observar que en muchas políticas corporativas no se define ni se aborda con claridad la responsabilidad de determinadas actividades o activos. Esto es una deficiencia importante y conduce a lagunas y errores en las operaciones.
PERO: Proteger los datos es un "deporte de equipo". Sólo si todas las tareas están identificadas y asignadas a las partes responsables, y sólo si estas personas también cumplen con sus tareas, su empresa puede operar de manera compatible con la protección de datos.
La protección de datos es un "deporte de equipo": Distribuir la responsabilidad es bueno. Asumir la responsabilidad es mejor".
Al introducir un PIMS, el principio de propiedad debe introducirse en la organización para el ámbito de la norma. Sin embargo, el término propietario no debe entenderse aquí en su significado de derecho civil. Más bien, en el lenguaje alemán de la norma, propietario se refiere a la responsabilidad de una persona sobre un activo o la aplicación de un requisito o medida.
Por ejemplo: El mantenimiento del "Directorio de Actividades de Tratamiento (VVT)" suele delegarse en el responsable de la protección de datos (DPO). Por supuesto, esto es un completo sinsentido y no puede funcionar porque el RPD no suele participar en muchas actividades de tratamiento. En la gestión de la calidad, los responsables de los procesos realizan la documentación de los mismos. La alta dirección debería delegar esto también en la protección de datos.
Certificado según la norma ISO 27701
En términos de certificación, la ISO 27701 complementa la conocida norma ISO 27001: será la primera norma que confirme la protección de datos mediante un certificado. DQS está actualmente en proceso de acreditación con el organismo de acreditación alemán (DAkkS).
Ventaja nº 2: La protección de datos operativos está orientada al riesgo
En la DS-GVO alemana, el legislador europeo exige una aplicación de la seguridad de los datos orientada al riesgo, por ejemplo en el artículo 32 (1) de la DS-GVO. Esta orientación al riesgo no suele funcionar en las empresas en las que no se ha instalado oficialmente ningún sistema de gestión. La aplicación de la norma de protección de datos ISO 27701 introduce inevitablemente la orientación al riesgo. En este caso, el método para la evaluación del riesgo de la seguridad de los datos no está prescrito y puede ser determinado - dentro de unos límites - por el usuario.
Ventaja nº 3: La gestión del cambio como componente del éxito
Los procesos de seguridad de datos pueden ser desencadenados por un cambio en la organización. Por ejemplo, la implantación o adaptación de un proceso empresarial, un servicio o un producto. Las empresas que no gestionan los cambios tienen grandes problemas para cumplir con los requisitos de protección de datos, porque los cambios se gestionan regularmente de forma aleatoria y sin control. Esto da lugar a la llamada brecha normativa.
"Las empresas y organizaciones están en constante cambio. La gestión del cambio también desempeña un papel importante en la protección de datos y la seguridad de la información."
Un PIMS registra y controla estos cambios con la ayuda de la gestión de cambios y los implementa. Por ejemplo, un cambio en un proceso empresarial requiere una comprobación de la permisibilidad (legalidad, economía de datos, derechos de los interesados, documentación en el VVT, etc.).
Por ejemplo: El requisito de la participación temprana del responsable de la protección de datos en el diseño de los cambios puede lograrse simplemente designándolo en el equipo de cambio.
Ventaja nº 4: Optimización mediante un proceso de mejora continua
Las empresas están en constante cambio. Un sistema de gestión de la información personal se planifica, implementa y opera inicialmente. Es muy probable que el primer intento de introducir, implementar y operar el sistema no sea óptimo debido a la falta de experiencia. Incluso si se consulta a un consultor experimentado durante la implantación, es de esperar que se produzcan tropiezos.
"Premisa: Hacer que la seguridad de la información y la protección de datos sean sistemáticas y sostenibles".
Aunque todos los PIMS tienen en principio los mismos mecanismos, están diseñados de forma diferente. El tamaño de la organización, la cultura organizativa o incluso el enfoque del sector pueden influir en la aplicación de los mecanismos.
Un buen submecanismo para adaptar permanentemente el PIMS a las necesidades cambiantes de la organización y las partes interesadas es el proceso de mejora continua (CIP).
Por ejemplo: el Reglamento General de Protección de Datos exige una hoja informativa que informe a los clientes o, por ejemplo, a los ciudadanos en el momento de la recogida de datos sobre la naturaleza y el alcance del tratamiento de los datos personales y los derechos correspondientes. Estas hojas informativas, de acuerdo con los artículos 13 y 14 del DS-GVO, se publican en cumplimiento de la ley; sin embargo, son muchas las peticiones de esta información por parte de los interesados. Al incluir estas sugerencias de mejora, la empresa reconoce que puede ahorrar recursos y aumentar la satisfacción del cliente optimizando la publicación de la información.
Ventaja nº 5: Catálogo detallado de medidas
Como se ha descrito anteriormente, la norma ISO 27701 no está adaptada al GDPR. El usuario de la norma es responsable de añadir los requisitos específicos del GDPR al PIMS.
Sin embargo, la norma internacional aporta tres amplios catálogos de medidas para la aplicación general de la protección de datos operativa:
- Medidas técnicas y organizativas,
- Organización de la protección de datos en el responsable del tratamiento, y
- Organización de la protección de datos en el procesador.
La buena noticia para el usuario europeo es que los autores de la nueva norma se han centrado mucho en el Reglamento General de Protección de Datos al diseñar los catálogos de medidas. Esto significa que la aplicación de los catálogos genéricos de medidas ya mapea muchos de los requisitos del RGPD. Los requisitos que faltan son seguidos por la gestión de requisitos.
Las medidas son las mejores prácticas para la aplicación y están escritas al estilo de un manual. A diferencia del GDPR (Business Rules), las medidas explican al usuario de la norma cómo debe llevarse a cabo la implementación. Desde el punto de vista del autor, esto es una gran ventaja.
Conclusión: Protección de datos y seguridad de la información
Cualquiera que haya desarrollado e implantado un sistema de gestión de la protección de datos (SGD) conforme a la norma ISO 27701 -es decir, cualquiera que proteja y gestione sistemáticamente sus datos personales- encontrará fácil garantizar y demostrar el cumplimiento de los requisitos legales. Si se aplica correctamente, la norma puede evitar muchos errores en la introducción y el funcionamiento de un SGD.
"Pensando en la protección de datos y la seguridad de la información, la norma ISO 27701 es el esperado manual para aplicar el GDPR".
Sin embargo, la certificación del PIMS sólo será posible si un sistema de gestión de la seguridad de la información certificado según ISO 27001 también es operado por la empresa.
DQS: Simplemente aprovechando la calidad.
Las normas de sistemas de gestión proporcionan un marco sistemático y estructurado para tener en cuenta las obligaciones legales e integrarlas en los procesos empresariales. Las empresas que quieran ir sobre seguro pueden hacer que un organismo independiente como DQS audite el estado de su implementación de la seguridad de la información o del cumplimiento de la DS-GVO.
Nuestras principales competencias residen en la realización de auditorías y evaluaciones de certificación. Esto nos convierte en uno de los principales proveedores a nivel mundial con la pretensión de establecer nuevos puntos de referencia en cuanto a fiabilidad, calidad y orientación al cliente en todo momento. Al mismo tiempo, un sistema de gestión certificado para la seguridad de la información y la protección de datos es una prueba de la diligencia y la previsión de su empresa en caso de ataques externos a los datos.
Confianza y experiencia
Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido o los servicios que ofrecemos a nuestro autor, póngase en contacto con nosotros. Estaremos encantados de hablar con usted.
Boletín DQS
Stephan Rehfeld
Director General de "scope & focus Service-Gesellschaft mbH". Responsable externo de la protección de datos y auditor de protección de datos DQS desde hace muchos años. Miembro con derecho a voto del grupo de trabajo "Tecnologías de gestión de la identidad y protección de datos" del DIN alemán, jefe adjunto del Círculo de Intercambio de Experiencias de la Asociación Alemana de Protección de Datos y Seguridad de los Datos (GDD) en Hannover.