Gestión de la privacidad: conociendo la norma UNE-EN ISO/IEC 27701:2021

El pasado 3 de diciembre de 2021, la Asociación Española de Normalización (UNE) publicó la Norma UNE-EN ISO/IEC 27701:2021 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).  Esta Norma es la versión oficial de la norma ISO/IEC 27701:2019 en español. Es una traducción muy esperada a nivel nacional y por los especialistas en privacidad de Hispanoamérica.

La Norma surge de la necesidad de las empresas de poder certificar la gestión de las obligaciones de protección de datos. Debemos de hacer referencia a las principales características de la misma:

• El Estándar incorpora los requisitos para garantizar la adecuada gestión de los datos de carácter personal a través de la implantación de un sistema de gestión. El Sistema de Gestión de Privacidad de la Información (SGPI) se configura bajo los criterios de mejora continua. La Norma alude en todo momento a Información Personal Identificable (IIP) como fundamental a proteger.
• Es una norma certificable.
• Es una extensión de las normas ISO/EC 27001 e ISO/IEC 27002. Ello implica que para su interpretación debe partirse de estos dos estándares de seguridad de la información. Además, para obtener la certificación es necesario contar con la certificación ISO/IEC 27001. De hecho, el alcance certificable en ISO/IEC 27701 estará delimitado por el obtenido bajo la norma ISO/IEC 27001. No obstante, para aquellas entidades que no hayan obtenido la norma ISO/IEC 27001 todavía, resultaría recomendable implementar las dos normas de forma conjunta, estableciendo así tanto el Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001 y el Sistema de Gestión de Privacidad de la Información bajo la norma ISO/IEC 27701.
• La norma se estructura en ocho apartados y seis anexos. Los cuatro primeros apartados del estándar son de carácter general. Son de máxima importancia los apartados del quinto al octavo y los anexos A y B.
  • En el apartado 5, se detallan los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001. En este apartado se detallan las apreciaciones relacionadas con privacidad que deben tenerse en cuenta en los controles del estándar ISO/IEC 27001. Con la misma sistemática que en el apartado 5, en el apartado 6, encontramos la “Guía específica del SGPI relacionadas con la Norma ISO/IEC 27002”.
  • En el apartado 7 se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP. Estas dos normas se complementan con lo dispuesto en los Anexos A y B. En estos dos apartados se especifican los controles específicos que han de tener en cuenta las entidades que actúan como responsables del tratamiento y aquellas que lo hacen como encargadas del tratamiento.

El Reglamento 679/2016 General de Protección de Datos (RGPD) establece la obligación de cualquier entidad que actúe como responsable del tratamiento de cumplir con lo dispuesto en los principios de protección de datos y además ser “capaz de demostrarlo”. La obtención de la certificación de este estándar internacional podrá ser muy útil para demostrar la necesaria diligencia debida que exige la normativa de protección de datos. La principal ventaja de establecer el Sistema de Gestión de Privacidad de la Información conforme a la Norma UNE-EN ISO/IEC 27701 es precisamente, reforzar frente a clientes, proveedores y, en definitiva, cualquier interesado, el compromiso de la organización con la seguridad de la información y el cumplimiento normativo en protección de datos. Para cualquier entidad, su implantación aporta un alto valor diferencial frente a sus competidores.

 Santiago Cruz Roldán

Equipo Govertis

Obligaciones en la nueva Guía de Gestión del Riesgo y la Evaluación de Impacto en los tratamientos de datos personales

La Agencia Española de Protección de Datos ha publicado la nueva Guía para la gestión del riesgo y evaluación de impacto en tratamiento de datos personales, cuyo objetivo es actualizar conforme a nuevos los nuevos criterios e interpretaciones de la AEPD, el Comité europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos y unificar las guías “Guía práctica de análisis de riesgo para el tratamiento de datos personales” y la “Guía práctica para la evaluación de impacto en la protección de datos personales” publicadas por la AEPD hace tres años.

Esta Guía comienza explicando el concepto de riesgo, primero de forma genérica y luego focalizada en la protección de los datos personales, indicando que el RGPD da total libertad para la gestión del riesgo, ya que debe integrarse con el resto de los recursos de la organización de gestión de riesgos, políticas y gobernanza.

Se especifica que la gestión del riesgo no puede, en ningún caso, sustituirse por el cumplimento normativo, o por una póliza de seguros que cubra la responsabilidad de la organización en caso de que haya una infracción de la normativa de protección de datos, sino que, ante cualquier tratamiento, la organización tiene adoptar medidas técnicas y organizativas que protejan los derechos y libertades de las personas, tanto a nivel individual como social y aunque el riesgo sea escaso. Por ello esta Guía indica que “Si una entidad pretende abordar un tratamiento y no tiene la capacidad para hacer la necesaria la gestión del riesgo, estará obligada a buscar algún tipo de ayuda, como recurrir a la consultoría externa, para realizarlo de la forma apropiada”, ya que el objetivo no es sólo poder actuar ante un hecho que ocasione un perjuicio para los derechos y libertades del interesado, sino haber implementado las medidas adecuadas para poder prevenirlo.  En Govertis podemos ayudarte con el cumplimiento de todas las obligaciones de la normativa de protección de datos.

La Guía analiza las fases que debe tener un proceso de gestión del riesgo, haciendo hincapié en la importancia de detallar el tratamiento que se quiere llevar a cabo, describiendo su propósito, su naturaleza, su alcance y su contexto.

Una nueva referencia que se hace en esta Guía, y que no se hacía en las anteriores de forma expresa, es la importancia que tiene la gestión de la seguridad de la información. En concreto se indica que la implementación en la organización de modelos de gestión, como el Sistema de Gestión de la Seguridad de la Información (SGSI) y de directrices como las normas ISO 27000 o el Esquema Nacional de Seguridad, además de políticas de información de la entidad y las políticas de seguridad, son medios para poder gestionar los riesgos de forma efectiva y eficaz y, de esta forma, poder considerar que los sistemas de información de la entidad cumplen con unos mínimos de seguridad que exigen estos modelos, directrices, estándares y políticas. Pero no es suficiente con esto, sino que las medidas de seguridad que se implementen en la organización tienen que revisarse continuamente dado que la actividad de tratamiento, y por ende el riesgo, puede evolucionar por diversos factores como un cambio en el contexto, factores externos, nuevas necesidades, la modificación de los medios tecnológicos utilizados etc.

Otro punto importante que aparece en esta nueva Guía, es el concepto de la “Gobernanza de los riesgos para los derechos y libertades” relacionado con el cumplimiento del principio de responsabilidad proactiva en el que la organización debe implementar políticas de protección de datos que se apliquen de una forma efectiva, práctica y ejecutiva en toda la organización y no se reduzcan a una mera declaración de voluntad de compromiso. Estos documentos relativos a la gestión del riesgo han de estar documentados y deberán contener unos elementos mínimos descritos en la Guía.

En el segundo capítulo se expone una metodología, en concreto unos mínimos, para la descripción del tratamiento, ya esto se considera el punto más importante para poder gestionar los riesgos de forma eficaz. Se propone realizar el estudio del tratamiento para realizar la gestión del riesgo sobre el mismo, hasta en tres niveles de detalle:

• Estudio a alto nivel del tratamiento: en este nivel se ofrece una tabla que incluye la información mínima que se tiene que analizar para poder realizar un análisis del riesgo.
• Análisis estructurado del tratamiento: en el caso de que el estudio del punto 1) no sea suficiente para gestionar el riesgo, es necesario que se realice un análisis estructurado del tratamiento, es decir, “identificar en el tratamiento las distintas operaciones que lo forman y la relación que existe entre ellas”.
• Descripción del ciclo de vida de los datos: en caso de encontrarnos con tratamientos complejos, se deberá realizar asimismo este análisis que supone estudiar las distintas etapas de la vida de un conjunto o categorías de datos, desde que se procede a la recogida de los datos personales hasta su destrucción.

Además, se introducen dos nuevos conceptos para el cálculo del nivel del riesgo cuando hay dos o más factores de riesgo que apunten a un determinado nivel de impacto, y cuando haya dos o más indicios que apunten a un determinado nivel de probabilidad: el coeficiente de impacto acumulado y el coeficiente de probabilidad acumulado.

Al igual que la Guía de Evaluaciones de Impacto, la Guía expone una tabla de ejemplos de controles para afrontar los riesgos. Estos controles resultan muy útiles a la hora de determinar qué controles son los más adecuados en nuestro tratamiento.

La tercera sección se reserva para explicar la Evaluación de Impacto: quien la realiza, en qué momento y las excepciones a su realización por no ser legalmente necesario, así como la excepción a su realización antes del inicio de las actividades de tratamiento, por ser necesaria la revisión y adaptación en el ciclo de vida de este. Centrándonos en esta última excepción, la pregunta lógica es: si antes de la entrada en aplicación del RGPD no tenía la obligación de hacer una Evaluación de Impacto sobre un tratamiento que ya venía realizando, ¿lo tengo que hacer ahora? La propia Guía contesta a esto afirmando que, como parte de las obligaciones de responsabilidad proactiva del responsable del tratamiento, es necesario que se realice esta Evaluación de Impacto si fuera necesaria.

Además, se desarrolla la exigencia relativa a la evaluación de la necesidad y proporcionalidad del tratamiento, haciendo una ponderación del juicio de proporcionalidad, del juicio de necesidad y del juicio de proporcionalidad en sentido estricto. Es importante tener en cuenta que el hecho de realizar esta evaluación no sustituye a la realización de la Evaluación de Impacto, ya que el objetivo de ambas es diferente. Lo que si es cierto es que, si no se puede demostrar la necesidad y la proporcionalidad de un tratamiento de alto riesgo, no se recomienda continuar con la Evaluación de Impacto o plantear una consulta previa del artículo 36 RGPD.

Un apunte que realiza la Guía, es que en los casos en los que se realice un análisis de necesidad, y la justificación se base en la exigencia de responder a una situación concreta de urgencia, el responsable tiene que vigilar que esta situación concreta de urgencia sigue estando vigente, ya que, en caso contrario, no estaría justificado seguir realizando este tratamiento.

Por último, se aborda la cuestión de las consultas previas a la AEPD cuando, tras haber realizado una EIPD, el riesgo residual resultante podría poner en riesgo los derechos y libertades de los interesados.

Como se puede observar, la AEPD ha querido compilar toda la información relativa a la gestión de los riesgos y las Evaluaciones de Impacto en una completa Guía.

Si quieres aprender más sobre la gestión de los riesgos y la evaluación de impacto, o en refrendar tus habilidades, la AEC ofrece el siguiente curso de especialización para que puedas fortalecer tus conocimientos, Taller práctico de análisis de riesgos y evaluaciones de impacto en protección de datos. 

Ana Vicente Cuesta

Equipo Govertis.

Publicación de calificaciones universitarias y la nueva LOPD

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

• Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
• Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
• En cuanto a los datos a publicar:

• • Nombre y apellidos del alumno y la calificación obtenida.
  • Si hubiera alumnos con mismo nombre y apellidos, incluir cuatro cifras aleatorias de su DNI o documento equivalente, recomendándose seguir los criterios del documento de la AEPD “Orientación para la aplicación provisional de la disposición adicional séptima de la LOPDGDD”.
• Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/es/documento/2019-0030.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

El Equipo Govertis 

“GDPR Y LOPDGDD: De la teoría a la práctica” El Club DPD participa en el II Encuentro de Privacidad de Telefónica

El 9 de mayo Telefónica celebró su II Encuentro de Privacidad, en el cual se trató un tema de gran relevancia: cómo ha sido la adaptación a lo largo del último año al nuevo reglamento RGPD y posteriormente a la LOPDGDD.

Como no podía ser de otro modo, el Club DPD participó activamente en esta importante cita con la protección de datos.

El encuentro se celebró en el Auditorio Telefónica, y comenzó con un keynote por parte de Pedro Pablo Pérez, CEO de ElevenPaths.

Ponencias: El nuevo Reglamento RGPD

La primera ponencia corrió a cargo de Jesús Rubí, de la Agencia Española de Protección de Datos, institución cuya presencia no podía faltar a esta cita.  El ponente abordó una temática de especial relevancia: qué está pasando con la aplicación real del nuevo Reglamento RGPD. Durante la ponencia resaltó la evolución de las reclamaciones tras la entrada en vigor del nuevo Reglamento.

A continuación, Eduard Chaveli, CEO de Govertis y DPD certificado por el CERPER de la AEC, trajo consigo un titular de especial relevancia: Intentando descifrar una ley difícil de pronunciar. Durante su ponencia Eduard se centró especialmente en los principios de la ley, concretamente en el principio de licitud y envió un mensaje claro a la audiencia: “Pon un DPD en tu vida, es una vida extra”.

Mesa redonda: Experiencias prácticas de DPDs tras un año de exigencia del RGPD

Alberto González, gestor del Club DPD de la AEC, moderó una interesante mesa redonda en la que 5 DPDs pudieron compartir su experiencia en la adaptación al cumplimiento del nuevo reglamento durante este año de vigor. Tuvimos el placer de contar con:

• Antonio Muñoz Marcos, Data Protection Technical Diretor, Global DPO Officer at Telefónica.
• Elena Terradillos Figueiro, DPD en la Confederación Sindical de CCOO.
• Nuria Calvo, DPD de Thyssen Krupp.
• Marta Martínez Pérez, DPD de Mutua MAZ.
• Iñaki González-Pol, DPD de Parlamento de Andalucía, Junta Electoral de Andalucía y Defensor del Pueblo Andaluz.

La mesa redonda nos dejó varios puntos de vista muy interesantes. Por ejemplo, Nuria Calvo compartió la visión del cambio en Thyssen Krupp, y explicó cómo se pasó de una empresa “gris” a una empresa digital exponiendo varios ejemplos de transformación digital en los que estuvieron implicados los datos personales. Por su parte, Elena Terradillos comentó la necesidad de crear una guía en la que se recoja la actividad sindical, además de subrayar la importancia de dar formación y contar con el apoyo de la organización para el correcto cumplimiento del RGPD.

En el caso de Mutua Maz el desafío era grande, al ser una empresa que trata datos sensibles, así lo expuso  Marta Martínez. Mientras que por su parte Iñaki González-Pol explicó el cambio de paradigma que ha supuesto el RGPD para la Administración, y destacó el concepto «volatilidad de las certezas jurídicas”.

Tras finalizar la mesa redonda, José Parada y Jorge García de ElevenPaths expusieron la privacidad como punto de partida del análisis integral de seguridad.

Desconexión y Transformación Digital

Después de una pausa para el café, pudimos disfrutar de las dos últimas ponencias.

La primera de ellas corrió a cargo de Tatiana Espinosa, Directora Global de Relaciones Laborales de Telefónica, quien presentó la nueva filosofía de la compañía: “Desconectar para reconectar”, en la cual destacó la importancia de la desconexión digital para los empleados, y habló sobre las diferentes prácticas que se están llevando a cabo para hacerlo posible en la compañía.

Por último Helena Pons-Charlet, habló de la ciberseguridad y privacidad, pilares de la transformación digital. Helena destacó el crecimiento de los ciberataques y consiguió que la audiencia reflexionara sobre las amenazas que implica para las organizaciones estar expuestas a los mismos.

Elisabet Iglesias, responsable de negocio de consultoría de ciberseguridad de Telefónica en España, fue la encargada de clausurar este interesante encuentro, y lo hizo destacando los aspectos más relevantes que se trataron durante el mismo.

El II Encuentro de Privacidad de Telefónica fue una cita imprescindible para los profesionales en protección de datos. Como no podía ser de otra manera el Club DPD participó de manera activa en el encuentro, y los miembros del Club disfrutaron de un trato exclusivo, al disponer de las dos primeras filas del auditorio. Además de participar de manera activa en encuentros sobre protección de datos, el Club DPD organiza sus propios encuentros y retransmite vía streaming ponencias de gran relevancia. ¿Te gustaría asistir a sus próximos encuentros? ¡Descubre el Club DPD!

Privacy by design

El Reglamento General de Protección de Datos de la Unión Europea tiene como objetivo establecer unas nuevas reglas del juego en el desarrollo de productos y servicios del siglo XXI en donde la privacidad cobra una importancia trascendental desde el inicio. Por este motivo, se ha contemplado tanto la adecuación de los sistemas y productos existentes como la protección de los entornos futuros.

La protección de datos en el panorama internacional. Una primera aproximación

En la década de los 80, fue la OCDE, Organización para la Cooperación y el Desarrollo Económicos, la primera en adoptar un documento con implicaciones internacionales en materia de protección de datos personales y privacidad. Poco después, sería el Consejo de Europa el que adoptara el Convenio 108 del Consejo de Europa, de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.