Auditoría e Implantación ISO 27701

Procesos y Gobierno IT

La norma ISO/IEC 27701: 2019

La ISO/IEC 27701 irrumpe en los estándares para ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal de las organizaciones. Cuando decimos organizaciones, estamos hablando de cualquier entidad, pública o privada, que maneje datos relativos a personas físicas identificadas o identificables.

La norma se ha configurado como una extensión de la ISO/IEC 27001, beneficiándose de los procesos de seguridad que este estándar contempla.

La relación entre la ISO 27001 y la 27701

La ISO 27701 es una extensión de la 27001. Por tanto, para implementarla es necesario contar con un Sistema de Gestión de Seguridad de la Información ISO 27001. Pero, las organizaciones que no dispongan de un SGSI también pueden implantar la ISO 27001 y la 27701 de forma conjunta, como un solo proyecto de implantación.

Características de ISO/IEC 27701:

  • Permite la integración de la gestión de la información de carácter personas con otros estándares.
  • Facilita el cumplimiento de las distintas normativas relacionadas con la protección de datos de carácter personal, como son el Reglamento General de Protección de Datos (RGPD), proveniente de las instituciones europeas, y la norma nacional, Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDgdd).
  • Establece diferentes requisitos en función del rol que desempeñe la organización en el tratamiento de los datos, ya sea como responsable del mismo o como encargado.
  • Permite certificar el cumplimento de las buenas prácticas en materia de gestión de datos de carácter personal.

Los beneficios de la ISO 27701

La ISO/IEC 27001 genera confianza, proporciona transparencia a las partes interesadas y facilita acuerdos comerciales efectivos. Pero, además, contribuye muy positivamente en el trabajo de los responsables y encargados de la protección de la privacidad. El Instituto Nacional de Ciberseguridad ofrece algunas claves en este sentido:

  • Aporta garantías de seguridad sobre los tratamientos de los datos personales.
  • Incorpora la gestión de la privacidad en la gestión de riesgos de la empresa.
  • Controla la existencia de mecanismos para la notificación de brechas de privacidad.
  • Establece roles y responsabilidades claras sobre los tratamientos.
  • Mejora la gestión de contratos con encargados del tratamiento.
  • Verifica el registro de actividades de los tratamientos.
  • Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
  • Garantiza que se permite a los propietarios de los datos personales el ejercicio de sus derechos sobre los mismos.
  • Aporta transparencia a los accionistas y eficacia a la hora de gestionar los tratamientos de datos personales.