Nueva norma internacional de gestión de la privacidad: ISO/IEC 27701

Ayuda a las empresas a cumplir con los requisitos y gestionar los riesgos.

El mundo está cada vez más conectado, aumentando la demanda de protección de la privacidad.  Con las nuevas reglamentaciones de la privacidad, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), se exige a las empresas que cumplan los requisitos reglamentarios y gestionen los riesgos para la privacidad relacionados con la información de identificación personal (PII).  La competencia, los procesos y los sistemas adecuados pueden ayudar a cumplir los requisitos y a gestionar los riesgos asociados. En la encuesta de ViewPoint, las empresas certificadas según normas como la ISO/IEC 27001 (seguridad de la información) consideraron que tenían un mejor control. La ISO 27001 contiene los requisitos para un sistema de gestión de la seguridad de la información, mientras que la ISO/IEC 27701 proporciona los requisitos para un sistema de gestión de la información sobre la privacidad (PIMS). Un PIMS permite a las organizaciones mejorar continuamente y demostrar responsabilidad en el procesamiento de datos personales.

Normas de gestión de la privacidad

La ISO ha publicado varias normas de seguridad de la información, ciberseguridad y privacidad. La más aplicada es la norma de seguridad de información certificable ISO/IEC 27001. En agosto de 2019, se publicó la norma de gestión de la privacidad ISO/IEC 27701 (anteriormente conocida como ISO/IEC 27552).  Las normas adicionales más destacadas relacionadas con la privacidad son: 

  • ISO/IEC 27018 "Código de práctica para la protección de identificación personal (PII) en nubes públicas que actúan como procesadores PII" (puede utilizarse como una extensión de ISO/IEC 27001)
  • ISO/IEC 29100 "Marco de privacidad"
  • ISO/IEC 29134 "Directrices para la evaluación del impacto sobre la privacidad"
Otras normas existentes establecen requisitos legislativos sobre temas como la anonimización o la desidentificación y las notificaciones de privacidad. Algunas normas se refieren a la privacidad en sectores específicos (por ejemplo, las ciudades inteligentes) o a aplicaciones (por ejemplo, la biométrica).

Legislación sobre certificación y gestión de la privacidad

La ISO/IEC 27701 es un complemento de la ISO/IEC 27001. Los dos estándares deben ser implementados juntos. La ISO/IEC 27701 es certificable, pero sólo en combinación con la ISO/IEC 27001.  La ISO/IEC 27701 puede utilizarse para cumplir con los requisitos, demostrando el cumplimiento y la responsabilidad de la GDPR. Contiene todos los requisitos. En un anexo se hacen referencias cruzadas entre la GDPR y la ISO/IEC 27701. Sin embargo, la norma no es específica de la GDPR. Abarca las legislaciones sobre privacidad de todo el mundo, y es útil para las empresas que operan fuera de Europa y a nivel internacional. En la actualidad, la ISO/IEC 27701 no aborda el mecanismo de certificación promovido por la GDPR, pero hay grupos de estudio, incluidos representantes de las autoridades de protección de datos, que están trabajando en planes para la denominada certificación de la GDPR. La ISO/IEC 27701 es un posible candidato.


Detalles de la norma ISO/IEC 27701 

Esta norma incluye los requisitos del sistema de gestión para la información de identificación personal. La norma complementa las siguientes partes de la ISO/IEC 27001:

  • el cuerpo principal de la norma e incluye el análisis del contexto considerando las funciones de responsable y procesador de datos; la inclusión, entre las partes interesadas, de los interesados; y la inclusión de algunos controles adicionales de seguridad de la información en la Declaración de aplicabilidad (o SOA);
  • los controles del Anexo A de la ISO/IEC 27001. 

Los controles de seguridad que complementan la norma de seguridad de la información se encuentran en el Anexo A de la norma ISO/IEC 27701 para los responsables de datos y en el Anexo B para los procesadores.  

Entre los controles adicionales para los responsables de datos figuran, por ejemplo, la evaluación del impacto de la protección de datos, los contratos con los procesadores, los tiempos de retención y otros. 

Los controles adicionales para los procesadores de datos incluyen, por ejemplo, registros de las actividades de procesamiento, la gestión de los derechos de los interesados, así como la finalización del procesamiento y otros. 

La ISO/IEC 27701 es una extensión de las directrices de la ISO/IEC 27002.  Para cada control de seguridad adicional se proporciona una guía de implementación. Para algunos de los controles de la ISO/IEC 27002, también se da una guía de implementación adicional, centrada en la privacidad.


¿Por qué la ISO/IEC 27701 es buena para mi negocio?  

Los sistemas de gestión de la información sobre la privacidad (PIMS) tienen varios beneficios:

  • Genera confianza en la capacidad de su empresa para gestionar la información personal, tanto de los clientes como de los empleados. 
  • Apoya el cumplimiento de la normativa sobre privacidad de GDPR y otras normativas aplicables.
  • Aclara las funciones y responsabilidades dentro de su organización.
  • Mejora la competencia interna y los procesos para evitar las infracciones. 
  • Proporciona transparencia sobre los controles establecidos para la gestión de la privacidad.
  • Facilita los acuerdos con los socios comerciales en los que el procesamiento de la información personal es mutuamente relevante. 
  • Se integra fácilmente con la principal norma de seguridad de la información ISO/IEC 27001. 
La necesidad de confianza y responsabilidad por la información personal está creciendo en la mente de los clientes, consumidores y otros interesados.  Las empresas deben responder y el riesgo es más amplio que el cumplimiento de la normativa. Las empresas deben contar con la competencia, los procesos y los sistemas adecuados y la norma ISO/IEC 27701 puede ser un buen punto para iniciar ese viaje.