¿Por qué un nuevo estándar?
A día de hoy prácticamente cualquier organización trata datos personales y estos tratamientos van en aumento, tanto en cantidad como el tipos de datos tratados. Adicionalmente es cada vez más común que parte del tratamiento se subcontrate o se realice mediante acciones de co-responsabilidad. La protección de la intimidad en este contexto es una necesidad de la sociedad, como así se está reflejando en los cambios legislativos y reglamentarios en todo el mundo.
En este sentido ISO (International Standard Organization), organización que promueve la publicación de estándares internacionales, publicó el pasado Agosto una nueva norma de la serie ISO27K, la ISO/IEC 27701. La norma especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS- Privacy Information Management System) integrable con cualquier Sistema de Gestión de Seguridad de la Información (SGSI o ISMS en inglés) establecido bajo la norma ISO27001.
¿En qué casos sería recomendable?
Este documento puede ser utilizado por cualquier organización independientemente del tamaño y actividad de la misma, ya sea en relación a los datos que trata como responsable o aquellos que trata por cuenta de otro, por una subcontratación. El cumplimiento de este estándar permite generar evidencias adecuadas para garantizar una correcta gestión de los datos personales. Estas garantías facilitan acuerdos con otras organizaciones en los que el tratamiento de datos personales es mutuamente relevante y también puede ayudar en las relaciones con otras partes interesadas. El uso de este documento junto con la norma ISO/IEC 27001 puede, si se desea, proporcionar una verificación independiente de estas pruebas al considerarse una norma certificable.
Este documento fue desarrollado inicialmente como ISO/IEC 27552. El 1 en el que acaba la nueva nomenclatura lleva a que la misma se considere certificable al incluir requisitos y no solo orientación.
Relación con la regulación europea en protección de datos.
La norma ISO27701, desde su introducción, vincula la misma al cumplimiento del regulación europea en protección de datos ya que mapea controles de la norma con los establecidos por el RGPD.
Contenido de la norma.
Podemos decir que la norma amplía los requisitos que establece la ISO27001 especialmente respecto a los controles relacionados con el tratamiento de datos de carácter personal. Esto tiene implicaciones en la descripción del contexto de la organización y también en la forma en la que se realizan los análisis de riesgos, que se deberán vincular con los análisis de riesgos y evaluaciones de impacto que establece en RGPD en aquellas organizaciones a las que le aplique dicha normativa.
Los objetivos de control y controles, establecidos en los diversos dominios del anexo A de la ISO27001 son repasados y detallados en cada dominio, ampliando los requisitos que establece. Además de los controles requeridos establece otros opcionales cuya exclusión deberán ser justificada cuando no aplique.
La norma establece un apartado específico con recomendaciones y requisitos en relación a los tratamiento de información realizados por terceros y su posible subcontratación.
Distintivo para garantizar la privacidad.
La ISO 27701 puede suponer el documento ideal en el que basarse para demostrar con las máximas garantías que velamos por la privacidad de los datos personales que tratamos en nuestras organizaciones, aportando un valor diferencial importante en este sentido. El RGPD obliga a toda organización a asegurarse que aquellos proveedores que vayan a participar en los tratamientos de los datos de los que son responsables, son adecuados. Teniendo en cuenta esta consideración, tener implantado un PIMS, y certificarlo, podrá implicar una ventaja competitiva importante para muchas empresas, a los que pondrá en una posición preferente entre los seleccionables.
Si estás interesado en esta norma, en las posibilidades de su implantación e integración en tus sistemas no dudes en contactar con LEGITEC.