El Día Internacional de la Seguridad de la Información se estableció con el objetivo de concienciar a usuarios y organizaciones de la importancia de proteger la información. La idea surgió en el año 1988, cuando se produjo el primer caso de malware, conocido como Gusanos de Morris. Desde entonces, todos los 30 de noviembre se recuerda a las compañías, pero sobre todo a las personas, la importancia de aplicar buenas prácticas en la protección de la información.

Los órganos legislativos, nacionales y supranacionales, son conscientes del impacto de las nuevas tecnologías sobre los datos relativos a las personas físicas. Por eso, han comenzado a decretar normativas encaminadas a proteger esta información. Ante este panorama, en el que los datos son el nuevo combustible de la economía, las organizaciones deben afrontar la ardua tarea de salvaguardar los derechos y garantizar el tratamiento adecuado de los datos de carácter personal.

El 6 de agosto la Organización Internacional de Normalización (ISO), junto con la Comisión Electrotécnica Internacional (IEC), publicó la Norma ISO/IEC 27701:2019. Es una extensión de la Norma ISO/IEC 27001 y de la guía de buenas prácticas ISO/IEC 27002 sobre Sistemas de Gestión de Seguridad de la Información.

Esta norma viene a llenar un vacío existente y a proporcionar un enfoque internacional de la protección de datos, como una extensión de la seguridad de la información. Por este motivo, y para celebrar el Día Internacional de la Seguridad de la Información, hemos querido profundizar en este nuevo Sistema de Gestión de la Privacidad de la Información (SGPI).

La norma ISO/IEC 27701: 2019

• La relación entre la ISO 27001 y la 27701

La ISO 27701 es una extensión de la 27001. Por tanto, para implementar la norma ISO/IEC 27701 es necesario contar con un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001. Pero, las organizaciones que no dispongan de un SGSI también pueden implantar ISO/IEC 27001 e ISO/IEC 27701 conjuntamente como un solo proyecto de implantación.

Es cierto que el sistema de gestión de la seguridad de la información (SGSI) de la norma ISO/IEC 27001:2013 aborda los problemas de privacidad, pero también lo es que los requerimientos a este respecto se pueden cumplir sin acometer de una manera completa las necesidades de protección de datos personales. La protección de datos requiere un grado de seguridad de la información que va mucho más allá de proteger la información en general. Las organizaciones deben salvaguardar los derechos de los interesados que no pueden garantizarse, únicamente, a través de la seguridad de la información.

Un Sistema de Gestión de la Privacidad de la Información (SGPI) es diferente de un SGSI, pero están estrechamente relacionados. El enfoque que adopta la ISO/IEC 27701 reconoce que la seguridad de la información (la garantía de la confidencialidad, integridad y disponibilidad de la información) es un aspecto clave de la gestión eficaz de la privacidad. También que los requisitos de SGSI, documentados en la ISO/IEC 27001, admiten requerimientos concretos, sin necesidad de una nueva especificación del sistema de gestión. Así, la ISO/IEC 27701 define los requisitos adicionales para que un SGSI cubra la privacidad y el procesamiento de datos personales.

• El estándar ISO/IEC 27701: qué es y a quién aplica

La ISO/IEC 27701 ha sido desarrollada por el Comité Técnico SC27, con la contribución de veinticinco organizaciones externas, incluido el Consejo Europeo de Protección de Datos (EDPB). Es aplicable a todo tipo de organizaciones: grandes o pequeñas; empresas públicas y privadas; organizaciones gubernamentales y aquellas sin ánimo de lucro. Y, como ya se ha mencionado, el único requisito para implementar la norma es contar con un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001.

El estándar ISO/IEC 27701 es una herramienta adecuada para implementar e integrar los principios del RGPD en un SGSI. La norma ha sido diseñada para ser utilizada por todos los responsables y encargados del tratamiento de datos de carácter personal. Y, al igual que la 27001, se apoya en un enfoque basado en el riesgo. De esta forma, cada organización puede acometer los riesgos específicos relacionados con los datos personales y la privacidad.

Esta norma detalla los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Privacidad de la Información (SGPI). Además, apuntala las exigencias de privacidad de un SGSI. ¿Qué significa esto? Por ejemplo, cuando ISO/IEC 27001 utiliza el “desempeño de la seguridad de la información”, ISO/IEC 27701 requiere que se incluya el termino privacidad y se haga referencia al “desempeño de la seguridad y la privacidad de la información”.

La norma agrega requerimientos específicos de privacidad a algunas de las cláusulas de la 27001 y a los controles del Anexo A. Además, añade controles específicos de privacidad (más allá de los existentes de seguridad de la información). Y, por último, basado en la ISO/IEC 27002, establece un marco para ayudar a reducir los riesgos de privacidad en los tratamientos de datos personales o información de identificación personal.

• Los beneficios de la ISO 27701

La ISO/IEC 27001 genera confianza, proporciona transparencia a las partes interesadas y facilita acuerdos comerciales efectivos. Pero, además, contribuye muy positivamente en el trabajo de los responsables y encargados de la protección de la privacidad. El Instituto Nacional de Ciberseguridad ofrece algunas claves en este sentido:

• Aporta garantías de seguridad sobre los tratamientos de los datos personales.
• Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
• Controla la existencia de mecanismos para la notificación de brechas de privacidad.
• Establece roles y responsabilidades claras sobre los tratamientos.
• Mejora la gestión de contratos con encargados del tratamiento.
• Verifica el registro de actividades de los tratamientos.
• Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
• Garantiza que se permite a los propietarios de los datos personales el ejercicio de sus derechos sobre los mismos.
• Aporta transparencia a los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.

En definitiva, la implementación de la ISO 27701 se transformará en una ventaja competitiva para las compañías. El compromiso con la seguridad de la información y con el cumplimiento de las regulaciones de protección de datos que adquieren las organizaciones hace que mejore su reputación y su imagen.

by