Aplicación del GDPR: los sistemas de gestión aportan seguridad

CONTENIDO

• GDPR: Certificaciones al alcance de la mano
• GDPR: Mapeo de los requisitos de protección de datos en el sistema de gestión
• Un sistema de gestión, pero ¿cuál?
• Implantación del GDPR en Alemania: ¿Aumenta la presión sobre las empresas?
• En buenas manos con DQS
• Experiencia y confianza

DS-GVO: Certificaciones al alcance de la mano

Se aconseja a las empresas que faciliten a las autoridades supervisoras de protección de datos -a petición de éstas- pruebas del cumplimiento de los requisitos legales. Las organizaciones que no cumplan todos los requisitos se arriesgan a graves sanciones por el GDPR.

Con ISO 27701 se publicó en agosto de 2019 una nueva norma que formula requisitos para la protección de datos en la gestión de la seguridad de la información. Especifica un sistema de gestión de protección de datos basado en ISO 27001, ISO 27002 (directrices para medidas de seguridad de la información) e ISO 29100 (marco para la protección de datos). Sin embargo, la ISO 27701 es sólo un complemento de la ISO 27001.

En términos de certificación, la nueva norma ISO 27701 complementará la ISO 27001 en el futuro, y será la primera norma que certifique la protección de datos. DQS está actualmente en proceso de acreditación con el Centro Alemán de Acreditación(DAkkS) y espera recibir la aprobación en un futuro próximo. La certificación conforme a la nueva norma de protección de datos no es posible por sí sola.

DS-GVO: Integración de los requisitos de protección de datos en el sistema de gestión

El GDPR estipula una serie de procesos que han tenido que implementarse desde mayo de 2018. Depende de la organización, la finalidad y el tipo de tratamiento de datos personales, así como de los riesgos para los derechos y libertades de las personas físicas, qué procesos deben establecerse y en qué medida. Entre ellos pueden figurar procesos de gestión de riesgos (evaluación de impacto de la protección de datos), de tramitación de solicitudes de información de personas físicas o procesos de mecanismos de respuesta en caso de violación de la protección de datos.

Un sistema de gestión moderno ofrece una solución sensata para que las empresas asignen los diversos requisitos, por ejemplo, para la revisión y el ajuste periódicos de las medidas de protección de datos o la definición de las responsabilidades correspondientes. Son precisamente estos aspectos los que se controlan mediante el proceso de mejora continua (modelo Planificar-Hacer-Verificar-Actuar). Esto permite a las empresas dar hoy los primeros pasos y utilizar los sistemas de gestión existentes.

Un sistema de gestión, pero ¿cuál?

La solución es alinearse con las normas internacionales ISO 27001 e ISO 27701.

Un sistema eficaz de gestión de la seguridad de la información (SGSI) conforme a la norma ISO 27001 utiliza un proceso de gestión de riesgos para garantizar

• confidencialidad
• integridad y
• integridad y disponibilidad de los datos y la información.

De este modo, da confianza a las partes interesadas en la gestión adecuada de los riesgos.

La certificación según la norma ISO 27001, especialmente en conjunción con la norma ISO 27701, también contribuye significativamente a la aplicación del GDPR y a garantizar los requisitos de protección de datos en la empresa. Puede ayudar a minimizar las multas en caso de violación de la protección de datos (Art. 83 lit. c y Considerando 150 GDPR). Esencialmente, la norma ISO 27001 apoya la aplicación de los requisitos del artículo 32 del GDPR - Seguridad del tratamiento.

Implantación del GDPR en Alemania: ¿crece la presión sobre las empresas?

La mayoría de las empresas y organizaciones aún no disponen de una solución preparada para demostrar la aplicación del GDPR.

El GDPR y la BDSG (Ley Federal de Protección de Datos) exigen a los Estados miembros que designen uno o más organismos públicos para supervisar la aplicación de las normativas nacionales de protección de datos con total independencia. El hecho de que toda persona tenga derecho a recurrir a la autoridad de control competente supone una presión adicional para las empresas.

Después de mayo de 2018, las autoridades de control concedieron unos meses de gracia antes de que comenzaran las inspecciones de los responsables independientes de protección de datos. Sin embargo, la lista de infracciones es ahora larga y pone a prueba la sensación de seguridad.

En buenas manos con DQS

Quien quiera implantar un sistema de gestión de protección de datos (SGDP) conforme a la nueva norma ISO 27701 es decir, cualquier persona que proteja y gestione sistemáticamente sus datos personales, le resultará fácil garantizar y demostrar el cumplimiento de los requisitos legales. En términos de certificación, la norma ISO 27701 complementa la conocida norma ISO 27001 - y será la primera norma que certifique la protección de datos. DQS se encuentra actualmente en proceso de acreditación ante el Organismo Alemán de Acreditación (DAkkS) y espera recibir la aprobación en verano de 2021.

Sin embargo, la ISO 27701 es solo un complemento de la ISO 27001. La certificación conforme a la nueva norma por sí sola no es posible.

Experiencia y confianza

Nuestros textos y folletos están redactados exclusivamente por expertos en normas internas y auditores de sistemas de gestión con una larga trayectoria. Si tiene alguna pregunta sobre el contenido y nuestras auditorías, envíenos un correo electrónico a willkommen@dqs.de.

Nota: Por razones de legibilidad, utilizamos el masculino genérico. No obstante, la directiva incluye a personas de todas las identidades de género cuando sea necesario para la declaración.