Gestión de la privacidad: conociendo la norma UNE-EN ISO/IEC 27701:2021

El pasado 3 de diciembre de 2021, la Asociación Española de Normalización (UNE) publicó la Norma UNE-EN ISO/IEC 27701:2021 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).  Esta Norma es la versión oficial de la norma ISO/IEC 27701:2019 en español. Es una traducción muy esperada a nivel nacional y por los especialistas en privacidad de Hispanoamérica.

La Norma surge de la necesidad de las empresas de poder certificar la gestión de las obligaciones de protección de datos. Debemos de hacer referencia a las principales características de la misma:

• El Estándar incorpora los requisitos para garantizar la adecuada gestión de los datos de carácter personal a través de la implantación de un sistema de gestión. El Sistema de Gestión de Privacidad de la Información (SGPI) se configura bajo los criterios de mejora continua. La Norma alude en todo momento a Información Personal Identificable (IIP) como fundamental a proteger.
• Es una norma certificable.
• Es una extensión de las normas ISO/EC 27001 e ISO/IEC 27002. Ello implica que para su interpretación debe partirse de estos dos estándares de seguridad de la información. Además, para obtener la certificación es necesario contar con la certificación ISO/IEC 27001. De hecho, el alcance certificable en ISO/IEC 27701 estará delimitado por el obtenido bajo la norma ISO/IEC 27001. No obstante, para aquellas entidades que no hayan obtenido la norma ISO/IEC 27001 todavía, resultaría recomendable implementar las dos normas de forma conjunta, estableciendo así tanto el Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001 y el Sistema de Gestión de Privacidad de la Información bajo la norma ISO/IEC 27701.
• La norma se estructura en ocho apartados y seis anexos. Los cuatro primeros apartados del estándar son de carácter general. Son de máxima importancia los apartados del quinto al octavo y los anexos A y B.
  • En el apartado 5, se detallan los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001. En este apartado se detallan las apreciaciones relacionadas con privacidad que deben tenerse en cuenta en los controles del estándar ISO/IEC 27001. Con la misma sistemática que en el apartado 5, en el apartado 6, encontramos la “Guía específica del SGPI relacionadas con la Norma ISO/IEC 27002”.
  • En el apartado 7 se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP. Estas dos normas se complementan con lo dispuesto en los Anexos A y B. En estos dos apartados se especifican los controles específicos que han de tener en cuenta las entidades que actúan como responsables del tratamiento y aquellas que lo hacen como encargadas del tratamiento.

El Reglamento 679/2016 General de Protección de Datos (RGPD) establece la obligación de cualquier entidad que actúe como responsable del tratamiento de cumplir con lo dispuesto en los principios de protección de datos y además ser “capaz de demostrarlo”. La obtención de la certificación de este estándar internacional podrá ser muy útil para demostrar la necesaria diligencia debida que exige la normativa de protección de datos. La principal ventaja de establecer el Sistema de Gestión de Privacidad de la Información conforme a la Norma UNE-EN ISO/IEC 27701 es precisamente, reforzar frente a clientes, proveedores y, en definitiva, cualquier interesado, el compromiso de la organización con la seguridad de la información y el cumplimiento normativo en protección de datos. Para cualquier entidad, su implantación aporta un alto valor diferencial frente a sus competidores.

 Santiago Cruz Roldán

Equipo Govertis

Blockchain y RGPD: ¿Son compatibles?

El blockchain, o cadena de bloques, es una tecnología destinada a tener un impacto enorme en todos los ámbitos de nuestras vidas. Conocida por ser la base tecnológica del bitcoin, este sistema es una base de datos compartida que registra en un libro mayor todas las operaciones entre todos sus usuarios, desde transacciones económicas hasta operaciones de compra-venta. Una de sus características es la inmutabilidad de la información que consta en los bloques ya que garantiza la seguridad y fiabilidad de la información. Precisamente es en sus cualidades donde se encuentran las incompatibilidades con el Reglamento General de Protección de Datos.

A continuación, analizaremos algunos de los puntos que desafían el cumplimiento de la blockchain con el RGPD:

• Derecho de cancelación: La información en la cadena de bloques permanece inalterable y esa es una de las piezas fundamentales de su funcionamiento. El artículo 17 del RGPD regula el derecho a la supresión de los datos personales, pudiendo el interesado solicitar al Responsable del Tratamiento la supresión de los datos personales que le conciernan. Es por esto, que el derecho a la supresión se presenta como un desafío para la tecnología blockchain.
• Plazos de conservación de los datos de carácter personal: El RGPD establece que los datos del interesado serán conservados únicamente durante el tiempo necesario para los fines previstos. Los datos almacenados en la blockchain se almacenan de manera indefinida en su red y por lo tanto resulta imposible cumplir con este aspecto definido en el RGPD.
• Principio de exactitud: Los datos del interesado deberán ser exactos y estar actualizados. Por lo tanto, debido a su inalterabilidad, será un desafío poder modificar la información de la red blockchain en base a este principio.

Son cada vez más las voces discordantes que prevén la incompatibilidad de la Blockchain con el RGPD y abogan por dejar fuera del alcance de la normativa europea a esta nueva tecnología. El pasado 1 de febrero la Comisión Europea puso en marcha el Observatorio y Foro de Blockchain de la Unión Europea con el objetivo de promover su uso y destacar sus avances más significativos. Dado el interés del legislador europeo por la privacidad y la protección de los datos de los ciudadanos, es fácil imaginar que encontrarán una solución a lo que parece una incompatibilidad entre el RGPD y la blockchain.

El equipo de profesionales de Govertis

Transparencia en la información y deber de información

El nuevo Reglamento Europeo de Protección de Datos (RGPD) recoge el Principio de Transparencia como un deber para la satisfacción de los derechos del interesado (Considerando 58 y artículo 12 RGPD), y el derecho a la información del interesado (Considerandos 60 a 62 y artículos 13 y 14 RGPD) con unas obligaciones concretas relacionadas con el deber de informar.