Mecanismos de certificación en protección de datos personales
De todos es conocido que ISO 27001 se ha convertido en la norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones. Junto a esta, ISO 27001:2013 (norma certificable), la norma ISO 27002 proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.
A nivel protección de datos personales y en cumplimiento del Art. 28 del RGPD, es precisamente la certificación ISO 27001 la que se utilizando para demostrar desde el encargado al responsable la adecuación a los requerimientos de seguridad que se transmiten de clientes y proveedores. La Ley es clara sobre ello: «la adhesión a códigos de conducta aprobados y mecanismos de certificación (Art.40 y 42) podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento. «
En este sentido en agosto de 2019 se publicó la ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”que establece, implementa, mantiene y mejora continuamente un Sistema de Gestión de Información de Privacidad (PIMS) y orienta a los responsable de tratamiento (controllers) y a los encargados de tratamiento (processors) a definir un marco de gestión para una implementación eficaz y ágil de la obligaciones del GDPR.
Una de las ventajas que ofrece esta nueva certificación radica en que la organización podrá compatibilizar el cumplimiento en materia de seguridad de la información y privacidad, ya que posibilita integrar la normativa en materia de protección de datos del país donde se implemente y reforzar las medidas técnicas y organizativas, aportando una herramienta de mejora continua y un sistema de gestión integrada. Asimismo, permite la gestión de los controles de privacidad, a fin de reducir el riesgo para los derechos de privacidad de las personas.
En España, ENAC, Entidad Nacional de acreditación de Certificación está ya trabajando junto a la Agencia Española de Protección de Datos para probablemente establecer esta norma como la certificable reconocida por la agencia gubernamental. En todo caso, la certificación en ISO 27701 es ahora mismo el mejor esquema para asegurar la completa adecuación al marco legal y la gestión interna de las obligaciones. En este sentido, ISO 27701 está especialmente dirigida a organizaciones que tengan una implicación directa en su servicios (grandes encargados de tratamiento) u organizaciones que por su tamaño o la sensibilidad de sus datos, requieran una máxima atención y gestión y que no solo les basta con la figura humana del Delegado de Protección de datos, sino además requieran un entorno de gestión ágil y transversal en la organización (pública o privada) que pretenda obtener resultados visibles y medibles:
- Proveedores de servicios de aplicaciones cloud y SaaS cuyos clientes requieren altos grados de compliance en Protección de Datos.
- Organizaciones del ámbito de la Salud: Hospitales, Servicios de Prevención Ajeno, proveedores de servicios, etc.
- Ecommerce y servicios en la nube con gran volúmenes y transacciones importantes de datos y con funcionalidades tipo Machine Learning, BigData, etc.
- Administraciones públicas con tratamientos de datos especialmente protegidos.
Estructura de la norma
- Capítulo 5. Establece los requerimientos añadidos al modelo de Contexto-Partes interesadas.Liderazgo-Planificación-Operación-Evaluación del desempeño-Mejora contínua de la estructura de ISO 27001. Por ejemplo establece los requerimientos de la gestión de riesgos completamente alineados ISO 27001 y GDPR.
- Capítulo 6. Establece nuevos requerimientos del Anexo A de ISO 27001 (controles de seguridad de la declaración de privacidad) hacia la gestión de privacidad y sobre las obligaciones del GDPR. Estos nuevos requerimientos deben añadirse a tu actual ISO 27001, por ejemplo en el control A.7.2.2 Concienciación, formación y capacitación en Seguridad de la Información, se define la necesidade de establecer acciones de concienciación en brechas de seguridad incidiendo en la necesidad de la notificación por parte de los empleados
- Capítulo 7. Establece un nuevo marco de controles para Responsables de Tratamiento
- Capítulo 8. Establece un nuevo marco de controles para Encargados de Tratamiento
Además se añaden diversos anexos, tablas de controles de los capítulos 7,8. Detalle y mapeo de ISO 22701 y GDPR y una adenda de como integrar ISO 27001 e ISO 27701
Certificación en ISO 27701
Para certificar tu organización en ISO 27701 es necesario implementar un PIMS (Privacy Information Management System) y es necesario que previamente tengas ya implementado un SGSI sobre ISO 27001, aunque también se podría realizar «desde cero». La experiencia nos lleva a determinar que pueden ser necesarios entre 3 y 6 meses para implementar un PIMS.
Si deseas más información en como implementar ISO 27701 y certificarse puedes contactar conmigo