Gestión de la protección de datos con un certificado

CONTENIDO

• Qué contiene la norma ISO 27701?
• SGSI y PIMS: similitudes y diferencias
• Objetivos de protección de datos y objetivos de seguridad de la información: Similitudes y diferencias
• La certificación ISO 27701 al alcance de la mano
• ISO 27701: Un gran paso hacia la protección de datos
• Creación de responsabilidades claras
• Además: Orientación al riesgo
• De un vistazo: Las ventajas de la norma ISO 27701
• Conclusiones: Un enfoque sistemático y estructurado de la protección de datos
• DQS: Simplemente aprovechando la calidad.

La protección de datos como complemento de un sistema de gestión

Idealmente, la gestión de la protección de datos se diseña con la ayuda de una norma internacional, en tándem con la ISO 27001.. La conocida norma ISO/IEC 27001 trata de los requisitos de un sistema de gestión de la seguridad de la información (SGSI) y también puede certificarse para este ámbito de aplicación. La nueva norma ISO/IEC 27701 para la gestión de la protección de datos se basa en la ISO 27001 y le añade criterios de protección de datos. Esta ampliación integra los requisitos de un sistema de gestión de la información sobre protección de datos (DSMS o Privacy Information Management System, PIMS) en un SGSI.

El título completo de la norma internacional de protección de datos es:

Al igual que la norma ISO 27001, la norma ISO 27701 también tiene en cuenta el enfoque del sistema de gestión y hace referencia a la estructura básica de las normas modernas de sistemas de gestión, la Estructura de Alto Nivel (HLS).

La nueva norma internacional forma parte de la ISO 29100, que contiene todos los principios de protección de datos. Inicialmente iba a titularse ISO 27552, pero luego pasó a llamarse ISO 27701. El trasfondo es la decisión de la Organización Internacional de Normalización (ISO) de que todas las normas certificables importantes terminen en 01.

Gestión de la protección de datos: ¿Qué contiene la norma ISO 27701?

En lugar de "seguridad de la información", la nueva norma de protección de datos habla de "seguridad de la información y protección de datos". Además, hay adiciones al contenido. Por ejemplo, al considerar el contexto de la organización, se exige la inclusión de las leyes de protección de datos y las resoluciones judiciales pertinentes. Asimismo, en la evaluación de riesgos deben tenerse en cuenta los criterios para el tratamiento de datos personales, teniendo siempre presente la protección de las personas afectadas y una posible evaluación de impacto.

Además, la norma ISO 27701 incluye suplementos a la norma ISO 27002, la guía para aplicar las medidas del Anexo A de la norma ISO 27001.

La norma ISO también ofrece las siguientes orientaciones sobre la gestión de la protección de datos:

• Ampliación de la directriz y las políticas para incluir aspectos de la protección de datos.
• Nombramiento de una persona responsable (responsable de protección de datos) en la empresa para el sistema de gestión de la información sobre privacidad
• Formación de los empleados en materia de protección de datos
• Registro de accesos y cambios
• Cifrado, por ejemplo de categorías especiales de datos personales como los datos sanitarios
• Consideración del principio de "privacidad desde el diseño
• Revisión de incidentes de seguridad para detectar violaciones de la privacidad de los datos

El anexo de la norma ISO 27701 contiene una tabla detallada de asignación de medidas a los requisitos del GDPR. Aquí queda clara la influencia del Reglamento General de Protección de Datos de la UE en esta norma internacional para la protección de datos.

SGSI y PIMS: similitudes y diferencias

Los sistemas de gestión de la seguridad de la información (SGSI) y los sistemas de gestión de la información sobre privacidad (SGIP) están estrechamente interrelacionados.

La privacidad y la seguridad de la información tienen que ver con los datos personales. La serie de normas ISO 27000 trata principalmente sobre la protección de la información, siendo los datos personales un subconjunto. Entonces, ¿la perspectiva determina si algo es una violación de datos o un incidente de seguridad de la información, o incluso ambos?

"¿Cuál es la ventaja de la norma ISO 27701? Agudiza la atención prestada a los aspectos de protección de datos en el sistema de gestión de la seguridad de la información".

Stephan Rehfeld, experto en protección de datos y auditor de DQS

Donde en las normas ISO 27001 o ISO 27002 se utiliza el término "seguridad de la información", en la ISO 27701 se denomina "seguridad de la información y protección de datos". Esta adición hace que la protección de datos forme parte del sistema de gestión de la seguridad de la información.

Sin embargo, también hay desviaciones en las que un PIMS funciona de forma diferente a un SGSI. Un ejemplo: la diferente comprensión del contexto de la organización. En la ISO 27701, en la cláusula 4.1, hay un requisito adicional a la ISO 27001 que dice que "la organización debe definir su papel como parte responsable o controlador conjunto para responsabilidades compartidas y/o como procesador por contrato."

Este requisito no está presente en el Sistema de Gestión de la Seguridad de la Información porque el SGSI no reconoce la distinción entre "Controlador" y "Procesador". En consecuencia, la norma ISO 27701 contiene dos anexos adicionales con medidas específicas de protección de datos para "responsables del tratamiento" y "encargados del tratamiento".

Objetivos de protección de datos y objetivos de seguridad de la información: Similitudes y diferencias

La norma ISO 29100 define los principios de protección de datos que debe cumplir el sistema de gestión propio de la empresa. El artículo 5 del Reglamento General de Protección de Datos (RGPD) muestra los objetivos de protección de datos que deben alcanzarse con los artículos operativos del RGPD. Los principios y objetivos son en gran medida congruentes. Esto se debe a que la OCDE definió los objetivos de protección de datos en 1980. Estos sirvieron de base tanto para la norma ISO 29100 como para el GDPR.

En el Sistema de Gestión de la Seguridad de la Información (SGSI) se encuentran los objetivos de confidencialidad, integridad y disponibilidad. Esto también se encuentra en el artículo 5 y en el artículo 32 del DS-GVO, respectivamente. Una diferencia importante, sin embargo, es la definición de "partes interesadas" en el SGSI. Esto incluye, por ejemplo, a los propios empleados de la empresa, clientes, proveedores, inversores o autoridades. En cambio, en la protección de datos, la parte interesada es únicamente el interesado.

Por lo tanto, la gestión de riesgos de protección de datos también difiere de la gestión de riesgos de seguridad de la información. En consecuencia, el SGSI no puede utilizarse uno a uno como PIMS con sus procesos específicos de protección de datos. No obstante, existen posibilidades de integración que permiten, por ejemplo, realizar auditorías internas conjuntas.

Gestión de la protección de datos: La certificación ISO 27701 al alcance de la mano

En términos de certificación, la nueva norma ISO 27701 complementará en el futuro a la ISO 27001, y será la primera norma que confirme la protección de datos mediante un certificado. Para ello, DQS se encuentra actualmente en proceso de acreditación ante el Organismo Alemán de Acreditación (DAkkS) y espera recibir la aprobación en breve. Dado que la norma ISO 27701 está concebida como una extensión de la norma ISO 27001, el sistema de gestión de la protección de datos conforme a la norma ISO 27701 no puede certificarse sin un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001.

ISO 27701: Un gran paso hacia la gestión de la protección de datos

Cualquiera que haya desarrollado e implantado un sistema sistemático de gestión de la protección de datos (PIMS) conforme a la norma ISO 27701 -en otras palabras, cualquiera que proteja y gestione sistemáticamente sus datos personales- lo tendrá fácil para garantizar y demostrar el cumplimiento de los requisitos legales. Las empresas pueden utilizar la nueva norma para establecer una seguridad de la información ampliamente conforme con la protección de datos y la protección de datos correspondiente.

Crear responsabilidades claras con ISO 27701

Al aplicar la nueva norma ISO, las empresas no pueden evitar definir responsabilidades claras en el ámbito de la protección de datos. Esta ventaja no debe subestimarse. En la mayoría de las empresas que carecen de un sistema sistemático de gestión de la protección de datos, las responsabilidades se formulan con demasiada frecuencia de forma blanda por una cortesía mal entendida ("¿Podría hacerse cargo de esto en el futuro?"). O las responsabilidades se comparten, según el lema "¡Lo haremos juntos!". Ambas conducen inevitablemente a que al final nadie asuma la responsabilidad. Con un sistema de gestión de la protección de datos bien estructurado, hay directrices claras, y eso no tiene precio.

"La conclusión es que todas las empresas se benefician realmente de sistematizar su protección de datos, en todos los sectores y tamaños de empresa".

Stephan Rehfeld, experto en protección de datos y auditor de DQS

La nueva norma ISO no se basa únicamente en los principios del Reglamento General de Protección de Datos, sino que también pretende ayudar a las empresas a cumplir las normas mundiales de protección de datos. El objetivo es establecer, implantar, mantener y mejorar continuamente un PIMS.

Otra ventaja: Orientación al riesgo

Hay otro punto a favor de la integración de la ISO 27701 con la ISO 27001. Con la introducción de la ISO 27701, las empresas se ven prácticamente "obligadas" a adoptar un enfoque orientado al riesgo en la protección de datos personales. Esto incluye, por ejemplo, definir y evaluar plenamente los riesgos y estimar la probabilidad de que se produzcan.

Esta evaluación de riesgos constituye entonces el punto de partida para reducir el potencial concreto de daño a un nivel aceptable. Por cierto, también encontramos este enfoque maravillosamente pragmático de forma similar con el GDPR, de modo que el círculo también se cierra en términos de relevancia práctica.

De un vistazo: Las ventajas de la norma ISO 27701

• La norma ISO 27701 formula los requisitos para un sistema de gestión de la información sobre privacidad.
• Con la ISO 27701, puede identificar, evaluar y minimizar los riesgos de seguridad en la protección de datos en el contexto general de su gestión de la seguridad de la información.
• Además de la ISO 27001, la ISO 27701 es la primera norma internacional certificable que confirma la protección de datos mediante un certificado (próximamente: certificado acreditado DAkkS de DQS).
• La ISO 27701 es un avance importante para la protección de datos en Europa y a escala internacional.

Conclusión: Un enfoque sistemático y estructurado de la gestión de la protección de datos

Si quiere navegar con seguridad por los bancos de arena de las normativas nacionales e internacionales de protección de datos, no puede evitar abordar el tema de forma estructurada y sistemática. En este contexto, la norma ISO 27701 ofrece un gran valor añadido.

De este modo, la protección y la seguridad de los datos también pueden ser dominadas por las medianas empresas y proporciona un excelente plan para la protección de datos conforme a la normativa. Esto incluye una amplia colección de mejores prácticas que las empresas pueden utilizar para documentar con confianza que están ejerciendo la debida diligencia en el manejo de datos críticos.

DQS: Simplemente aprovechando la calidad.

En la interacción de dinámica y estabilidad, los sistemas de gestión certificados son cada vez más importantes, un desarrollo que DQS percibe de forma positiva. Esto se debe a que las empresas y organizaciones de éxito utilizan los resultados de nuestras auditorías para mejorar continuamente sus resultados. También utilizan nuestros certificados reconocidos mundialmente como prueba objetiva de su capacidad de calidad. Esto genera confianza, tanto interna como externa a su empresa.

Experiencia y confianza

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido del texto o los servicios que ofrecemos a nuestro autor, póngase en contacto con nosotros.