La única certeza hoy día es la certeza del cambio. Vivimos y operamos, tanto las personas como los gobiernos y las empresas, en entornos cambiantes, dinámicos. Por eso se hace más necesario que nunca estar al día, contar con buena y fiable información en todo lo que afecta a nuestra actividad o negocio. Un claro ejemplo lo tenemos en todo lo relacionado con el cumplimiento de las políticas y estándares que abarcan cuestiones tan sensibles como la privacidad o la protección de datos.
Dado el entorno dinámico en el que operan las organizaciones a nivel mundial se hace patente la necesidad de contar con un estándar sobre cómo deben gestionar y procesar los datos para reducir el riesgo en el tratamiento de la información personal y para ayudarles a demostrar el cumplimiento de las normas de privacidad de manera permanentemente actualizada.
Muchas organizaciones han implementado ya un Sistema de Gestión de Seguridad de la Información (SGSI), basado en ISO/IEC 27001 y usando la Guía de ISO/IEC 27002, por ello, la publicación de la ISO/IEC 27701:2019 Técnicas de seguridad – Extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información personal – Requisitos y directrices es el paso natural para especificar los requisitos, proporcionar directrices, establecer, implementar, mantener y mejorar continuamente los Sistemas de Gestión de Información Personal (PIMS) y ofrecer indicaciones de cómo generar evidencias para acreditar el cumplimiento en materia de protección de datos dentro del contexto de la organización. En otras palabras, las organizaciones que deseen certificarse en ISO/IEC 27701 necesitarán previamente contar con la certificación ISO/IEC 27001.
El imparable desarrollo de tecnologías para la digitalización, globalización y personalización de servicios, que va desde reservar una cita médica hasta el uso de internet en sistemas bancarios, aplicaciones móviles, esquemas de fidelización, dispositivos conectados y publicidad basados en geolocalización, han llevado a una mayor recopilación y procesamiento de información personal. Y esta tendencia está aumentando a medida que surgen oportunidades para nuevos servicios y nuevos jugadores entran al mercado.
Esto significa que con carácter habitual estamos entregando nuestros datos personales sin pensarlo demasiado, creando más flujos de datos que se ven envueltos en posibles violaciones de seguridad donde dichos datos personales se han visto comprometidos.
En este sentido, entre los individuos y los gobiernos a nivel mundial, se está dando una creciente preocupación, en torno a cómo se recopilan, usan y protegen los datos personales.
Ante la creciente preocupación en torno a cómo se recopilan, usan y protegen los datos personales, algunos gobiernos han propuesto o promulgado nuevas regulaciones al objeto de proporcionar pautas y requisitos para el tratamiento de datos personales. Este es el caso del Reglamento Europeo de Protección de Datos o GDPR, o, de Corea, Australia y China, que cuentan con legislación propia en materia de protección de datos.
Certificación GDPR: Nueva ISO 27701:2019
En este cambiante panorama regulatorio de la privacidad, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han tomado la iniciativa con la creación de esta nueva ISO al objeto de proporcionar un estándar que ayude a las organizaciones a probar el cumplimiento regulatorio. La certificación también puede ser una herramienta útil para que las organizaciones agreguen credibilidad a su compromiso con la privacidad y las obligaciones relacionadas.
El estándar describe un marco para gestionar los controles de información de identificación personal (PII) orientados a la reducción del riesgo de los derechos de privacidad individuales. Los requisitos del estándar y las orientaciones están escritos de forma práctica y utilizable por organizaciones de todos los sectores industriales y de todos los tamaños para demostrar el cumplimiento de las normas de privacidad.
La ISO/IEC 27701 es aplicable a todas las organizaciones que actúan como responsables, corresponsables y/o terceros encargados del tratamiento de información personal. Por ejemplo, la ISO/IEC 27018 se aplicará específicamente a proveedores de nube pública.
Una organización que cumple con los requisitos en ISO / IEC 27701 contará con evidencias documentadas del tratamiento de información personal, las cuales proporcionarán las garantías adecuadas de cumplimiento y con ellas, acuerdos con socios comerciales donde el tratamiento de información personal mutuo es necesario, así como, favorecerá relaciones con otras partes interesadas.
La certificación en ISO/IEC 27701 junto con ISO/IEC 27001 implica contar con una prueba independiente del grado de cumplimiento normativo en materia de privacidad de datos, tal y como contempla el GDPR en su artículo 24.3 al establecer, entre las obligaciones que pesan sobre los responsables del tratamiento de datos personales de las organizaciones, que “la adhesión a […] un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
Asimismo, sirve para acreditar el cumplimiento de las obligaciones de privacidad desde el diseño y por defecto regulado en el art. 25.3 GDPR:
“Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.”
Si se usa de tal manera, proporcionaría la prueba necesaria de que una organización trata la información personal de sus clientes en cumplimiento con la ley, incluso para el caso de flujos de datos transfronterizos. A pesar de lo anterior, el cumplimiento de estos documentos no se puede tomar per se como garantía de cumplimiento de las leyes y reglamentos.
Al objeto de validar que los controles operativos del estándar se implementan adecuadamente de acuerdo con los requisitos de cumplimiento de las normas de privacidad se debe:
- Mapear los requerimientos normativos contra los controles del estándar
- Identificar los requerimientos normativos específicos que no se contemplan en los controles estándar de la ISO y las condiciones en las que aplican dichos requisitos
- Incorporar lo anterior en el proceso de evaluación de riesgos en el ciclo de auditoría o revisión continua
La certificación en ISO 27001 proporciona evidencia de cómo una organización gestiona la información de identificación personal (PII) y puede:
- Aumentar la confianza entre organizaciones y clientes al demostrar el cumplimiento de las leyes de privacidad de datos
- Generar evidencia para los Oficiales de Protección de Datos, que pueden proporcionar a la alta gerencia y miembros de la junta para mostrar su progreso en el cumplimiento de la normativa de privacidad
- Aumentar los flujos de datos y con ellos las oportunidades de negocio a través del mercado único digital de la UE y transfronterizo
- Acreditar, de manera independiente, la efectividad de los controles que usa la organización. El conjunto de controles de la ISO 27001 para implementar un sistema de gestión de seguridad de la información se extiende a la ISO 27701 para abordar también el cumplimiento de los requisitos de privacidad lo cual puede ayudar a demostrar el cumplimiento de las leyes de privacidad de datos como GDPR.
- Evaluar el riesgo que supone el intercambio de información personal entre organizaciones a lo largo de la cadena de suministro.
Sin embargo, si una organización usa un esquema de certificación “X” en una jurisdicción y otra organización se certifica en un esquema diferente “Y” que aplica únicamente a su jurisdicción, esta situación puede no proporcionar la garantía necesaria o el nivel de confianza suficiente para los socios comerciales respecto al tratamiento que, de la información personal de los clientes, proveedores, etc. se está realizando.
Por ello, dada la naturaleza global de los negocios, se requiere una certificación GDPR común que actúe como mecanismo de garantía uniforme y consistente para demostrar que las organizaciones cumplen con las respectivas normativas de privacidad, protegiendo la información personal, mitigando el riesgo y reduciendo las barreras al comercio entre socios comerciales.
¿Tienes dudas sobre cómo certificar o implantar el cumplimiento normativo del GDPR en tu organización? En Vadillo Asesores podemos ayudarte de varias formas. Consúltanos aquí.
Comparte este artículo: