Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el pasado 25 de mayo de 2018 y su posterior adaptación a la legislación española con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) el pasado 5 de diciembre de 2018, se incluyó la posibilidad de ayudar a empresas y organizaciones a verificar que cumplen con las leyes y demostrar el principio de responsabilidad proactiva (art. 24 RGPD) a través de estándares o recomendaciones, así como certificaciones.

Articulo 24.3 RGPD

“La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Por lo que, el RGPD ha incluido esta posibilidad mediante la incorporación del artículo 42 del RGPD  que señala en su apartado 1 que  “1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

En este sentido, la International Organization for Standardization, conocida como ISO, junto con la International Electrotechnical Commission o EIC, han creado una serie de estándares de seguridad de la información (la familia 27000). Así, en 2005, la norma ISO 27001 se convirtió en una norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones. Junto a esta, la norma ISO 27002 proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.

En Agosto de 2019 se ha publicado la “ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” que establece, implementa, mantiene y mejora continuamente un Sistema de Gestión de Información de Privacidad (PIMS) y orienta a los controladores y procesadores de PII (Personal Identification Information), específicamente a los directores de información de identificación personal (PII). Este estándar especifica los aspectos sobre privacidad para que la organización genere evidencias de un adecuado cumplimiento de las leyes en materia de privacidad. Para aplicarse necesitamos que la organización previamente disponga de un Sistema de Gestión de Seguridad de la Información (la norma ISO/IEC 27001).

Una de las ventajas que ofrece esta nueva certificación radica en que la organización podrá compatibilizar el cumplimiento en materia de seguridad de la información y privacidad, ya que posibilita integrar la normativa en materia de protección de datos del país donde se implemente y reforzar las medidas técnicas y organizativas, aportando una herramienta de mejora continua y un sistema de gestión integrada. Asimismo, permite la gestión de los controles de privacidad, a fin de reducir el riesgo para los derechos de privacidad de las personas.

Estructura Norma ISO 27701

Respecto a la estructura de esta norma ISO 27701 podemos señalar que:

La norma está compuesta de 8 apartados y 6 anexos.

• Cláusula 5: En esta cláusula se establece la correspondencia con los apartados 4 al 10 de la norma ISO 27001, ampliando los requerimientos sobre protección de la información específicamente para el apartado 4 sobre el contexto organizacional y el apartado 6 relativo a la planificación de la gestión de riesgos, no aportando necesidades adicionales en el resto de los apartados.
• Cláusula 6: Este apartado amplía los requerimientos establecidos en la guía de buenas prácticas ISO 27002 y los controles establecidos en el Anexo A de la ISO 27001. Se amplían los requisitos sobre la protección de la información en algunos controles del 5 al 18, con excepción del control 17 (Seguridad de la información en la continuidad del negocio) donde no se establecen medidas adicionales a las ya existentes.
• Cláusula 7: Determina controles adicionales y la guía de implementación de estos para los propietarios de la Información de identificación personal (PII). En total con 4 objetivos de control y 31 controles.
• Cláusula 8: Este apartado establece controles adicionales y una recomendación de implantación para los encargados de tratar información personal de terceros contratados y la subcontratación de los servicios. En total con 4 objetivos de control y 18 controles.

Adicionalmente, se incluyen los Anexos A y B en los que se establecen los controles de privacidad para responsables y procesadores junto con el Anexo A de ISO/IEC 27001 que incluye los controles para seguridad de la información. Además, varios anexos como el Anexo C que hace referencia a los principios recogidos en ISO/IEC 29100; Anexo D al RGPD, Anexo E a la  ISO/IEC 27018; ISO/IEC 29151 y Anexo F con información sobre la ISO 27001 e ISO 27002.

En el Anexo D se presenta un mapeado de las cláusulas y los artículos del RGPD, haciendo referencia a los principios, el cumplimiento con las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos ARSOPL, la evaluación de impacto, notificación a la autoridad de control, designación del Delegado de Protección de Datos (DPD) entre otros. Asimismo, como las exigencias de responsabilidad proactiva, materia de seguridad y las transferencias internacionales de datos personales.

En conclusión,  este estándar es una buena herramienta para implementar e integrar los principios del RGPD en un sistema de gestión de seguridad de la información (SGSI), mejorando las relaciones comerciales y reputacionales de la organización en la que se apliquen.

¿Quieres saber más sobre la Nueva Norma ISO 27701:2019? Apúntate aquí al IV Insight del Club DPD en streaming, en el que Borja Romano, dará la conferencia: “Introducción práctica a la ISO 27701:2019 nuevo estándar internacional de protección de datos.”

El equipo Govertis