Home Recursos Blog Enero 2020

ISO 27701 - La nueva norma sobre privacidad de la información

24 enero 2020
En 2018 se implantó el RGPD en la Unión Europea y esto afectó a las consideraciones sobre privacidad de la información que las organizaciones deben considerar respecto a sus clientes, empleados, socios y posibles clientes.
Desde el significativo desarrollo de dicha legislación, no se ha elaborado una guía sobre cómo puede una organización cumplir con los requisitos del RGPD dentro de su sistema de gestión existente.

La ISO 27001:2013 incluye requisitos de seguridad que se pueden implantar para proteger los datos, pero existe una brecha entre esta norma y el cumplimiento del RGPD. Algunas organizaciones incluyen (y continúan incluyendo) el RGPD y otras legislaciones específicas del Estado como algo importante para la norma y normalmente lo sitúan dentro del registro legislativo.

Sin embargo, no es suficiente, la efectividad del sistema de gestión de seguridad de la información (SGSI) se encuentra limitado respecto al cumplimiento del RGPD y otras regulaciones sobre protección de datos. La ISO/IEC constató este hecho y desarrolló una nueva norma basada en un SGSI con una mejora de las cláusulas y controles que conecten la brecha entre el SGSI y el cumplimiento del RGPD.

La ISO 27701:2019 es una nueva norma. NQA ha proporcionado recientemente un seminario web que refleja el fundamento y una vista general de dicha norma. 

¿Qué es la información personal?

La información personal es la información relacionada con un individuo identificado o identificable. El dato identificador puede ser tan simple como un nombre, número, dirección IP o identificador cookie u otros factores como información personal (dirección, teléfono o imagen).

Si un individuo es identificado o identificable, de forma directa o indirecta, por los datos que está procesando, no se tratará de información personal a no ser que se relacione con el individuo. Al considerar la información relacionada con el individuo, necesitará considerar una variedad de factores, incluyendo el contenido de la información, el propósito del procesamiento de dicha información y el posible impacto de su procesamiento sobre el individuo. 

Entre los ejemplos de información personal se incluyen:
  • Nombre y apellidos.
  • Dirección.
  • Dirección de correo electrónico como nombre.apellido@empresa.com.
  • Número de tarjeta de identidad.
  • Datos de localización (por ejemplo, funciones de localización de telefonía móvil).
  • Dirección IP.
  • Cookie ID.
  • Datos hospitalarios/médicos.
Se entiende que toda organización procesa, recoge, controla, distribuye o almacena alguno de los datos anteriores. Por ejemplo, la mayoría tendrá información sobre sus empleados, socios y clientes.

Para otras organizaciones cuya función primaria sea la recogida o almacenamiento de grandes cantidades de datos considerados como información personal de invidivuos indentificables, asegurar el cumplimiento legislativo de los requisitos de privacidad de la información es extremadamente importante para su reputación. 

Conexión

Desde la llegada del RGPD, un alto número de grandes empresas han incumplido dicha legislación, lo que ha conllevado multas millonarias. Esto no sólo incluye a empresas localizadas en la Unión Europea (UE), sino que también concierne a empresas basadas fuera de la UE.

El alcance de la regulación va más allá de las fronteras de la Unión Europea. Algunas de las empresas que han cometido infracciones sobre la privacidad de la información son:
  • Marriot Hotels: Un grupo criminal consiguió acceder al sistema de reservas, teniendo acceso al nombre y detalles de pago de unos 383 millones de registros de clientes. La multa por incumplimiento del RGPD fue de aproximadamente 100 millones de libras (£).
  • Google: La empresa no respondió a solicitudes de usuarios con respecto al procesamiento de su información personal y no disponer de una base legal para publicidad dirigida acorde a los perfiles de usuarios, lo que se tradujo en una multa de 44 millones de libras (£).
Las fugas de información pueden conllevar grandes multas y un daño reputacional severo. El claro entendimiento de como gestionar la información personal es de vital importancia para una organización, independientemente de su tamaño.

Ventajas de sistema de gestión de información confidencial

Los beneficios asociados a la implantación de un sistema de gestión de información confidencial (SGIC) son significativos. Si una organización ya dispone un un sistema de gestión de seguridad de la información (SGSI) implantado, implantar el SGIC es un proceso relativamente directo, ya que el SGIC se basa en el Anexo A del SGSI.

Los beneficios de la implantación del SGSI están bien documentados. A continuación se ponen de manifiesto algunas de las implicaciones de la implantación de la extensión técnica del SGIC en una empresa.
 
La ISO 27001:2013 proporciona un marco de trabajo por el que una organización puede identificar la legislación sobre seguridad de la información aplicable a sus actividades, productos, servicios y riesgos identificados. Dicho marco de trabajo se extiende para proporcionar los medios para cumplir con los requisitos regulatorios identificados. 

La ISO 27001:2019 es capaz de proporcionar claridad y asegurar el cumplimiento legislativo y regulatorio de los requisitos, debido a su enfoque específico en lás áreas temáticas.

Los riesgos de seguridad de la información y los problemas identificados en la ISO 27001 e ISO 27701 proporcionan los medios por los cuales una organización puede comunicar y consultar sobre los riesgos de seguridad de la información. El resultado podrá:
  • Reducir significativamente la carga de trabajo al anular la necesidad de soporte para certificados múltiples.
  • Mejorar la confianza con organizaciones y clientes al demostrar cumplimiento con la leyes de privacidad de la información.
  • Generar evidencias de que los responsables de protección de datos pueden proporcionar a la gerencia su progreso en el cumplimiento de la regulación de privacidad.
  • Aumentar las oportunidades de negocio y comercio a través de flujos de información que cruzan fronteras.
Las necesidades de formación se identifican y realizan para la seguridad de la información, la idoneidad de dichas formaciones se evaluará mediante mediciones de la competencia.

La implantación de estrategias de mejora de seguridad de la información y la implantación efectiva de un SGSI documentado puede suponer un ahorro económico importante, sin olvidar el efecto de una reducción de los incidentes en la moral de los empleados, clientes y otras partes interesadas. 

Dado que los incidentes en seguridad de la información y los riesgos asociados se eliminan o controlan, las obligaciones se reducen, ofreciendo más estabilidad al negocio. 

Finalmente, no se puede ignorar es la reputación que le proporcionará el certificado ISO 27701. Demostrará a sus socios, clientes, y competidores que está comprometido y puede demostrar cumplimiento con los requisitos de privacidad de la información.

En la era de la información, demostrar que está comprometido con la privacidad de la misam debería ser parte de cada negocio y empresa. El procesamiento de información colleva una consideración importante y el cumplimiento con las regulaciones es imperativo. Las consecuencias de no cumplimiento puede ser severas.

Asegúrese de que su organización cumple con el RGPD, solicite presupuesto a NQA para comenzar con el proceso de certificación.