ISO 27701 y RGPD

Los consumidores modernos confían cada vez más sus datos personales a las empresas. Esto ha provocado el aumento de amenazas como la ciberdelincuencia y el robo de información. Proteger estos datos para que no caigan en las manos equivocadas es tan importante que se ha convertido en una industria propia. Ahora las empresas deben cumplir la normativa sobre privacidad de datos para salvaguardar la información y los datos sensibles que recogen de los clientes. Muchos países cuentan con leyes y normativas estrictas para reforzar la seguridad de los datos. Varios países han aprobado leyes que regulan la forma en que las organizaciones pueden recopilar datos de sus clientes y establecen ciertas normas de privacidad para salvaguardar esos datos.

Las organizaciones deben cumplir estas normas cuando recogen datos y cuando los almacenan en sus sistemas. Una normativa que se ha convertido en integral en la Unión Europea (UE) es el Reglamento General de Protección de Datos (RGPD). El RGPD se aplica a todos los miembros de la UE y del Espacio Económico Europeo (EEE). Otros países también han introducido normas de privacidad desde entonces y las actualizan de vez en cuando para garantizar la seguridad de la información personal de los clientes. La última actualización de la norma internacional para la gestión de la privacidad y la información es la ISO 27701, que es una extensión de la ISO 27001. Este artículo analiza en profundidad la ISO 27701 y el RGPD.

¿Qué es la ISO 27701?

La ISO 27701 es una extensión de la ISO/IEC 27001 en materia de privacidad de datos. Como norma internacional de sistemas de gestión para la protección de la privacidad en el tratamiento de la información, la ISO 27701 está relacionada con todos los requisitos establecidos en las normativas de protección de datos como el RGPD. Esta norma se actualiza periódicamente, y la extensión más reciente se redactó para dar soporte a otras normativas de privacidad como el RGPD. La ISO 27001 es una norma para la implantación de un sistema de gestión de la seguridad de la información (SGSI), mientras que la extensión de la ISO 27701 se centra específicamente en la implantación de la gestión de la privacidad de la información.

Esta norma nueva se aplica tanto a los responsables como a los encargados del tratamiento de la información personal identificable (IPI). Por lo tanto, tanto si usted es un controlador que gestiona la recopilación y el procesamiento de datos como si es un procesador que procesa datos en nombre de un controlador, esta norma es aplicable. Si ya está certificado según la norma ISO 27001, ya tiene una ventaja para certificarse según la norma ISO 27701, ya que los controles y requisitos se corresponden con la norma ISO 27001. La implementación de la norma ISO 27701 aumentará el cumplimiento de la privacidad y reducirá el riesgo de violaciones de la privacidad.

La implantación de la norma ISO 27701 aliviará las preocupaciones de las partes interesadas en materia de privacidad y aumentará su confianza en su organización, ya que demuestra que dispone de sistemas sólidos y eficaces para cumplir con la normativa sobre privacidad. Esta norma le permite ampliar su norma anterior, reforzando su SGSI y garantizando que dispone de un sistema eficaz de gestión de la información sobre la privacidad. Las leyes de protección de datos son cada vez más comunes hoy en día; obtener la certificación ISO 27701 puede ayudarle a cumplir con estas leyes de protección de datos.

¿Qué es el RGPD?

El RGPD es la conclusión de años de preparación y entró en vigor el 25 de mayo de 2018. Este reglamento se centra en la protección y privacidad de los datos personales de las personas y amplía los principios de protección anteriores.

El RGPD es la regulación de cumplimiento de datos más fuerte del mundo. Es un conjunto de reglas que se centra en mejorar la protección de la privacidad de los ciudadanos de la UE. El RGPD regula la forma en que las organizaciones pueden recopilar datos y también impone límites a lo que estas organizaciones pueden hacer con estos datos.  También aborda la transferencia de datos personales fuera de la UE y del EEE.

¿Cuáles son los principios básicos del RGPD?

El RGPD se rige por los siguientes principios básicos:

• Legalidad

• Equidad

• Transparencia

• Limitación de la finalidad

• Minimización de datos

• Precisión

• Limitación de almacenamiento

• Integridad y confidencialidad

• Rendición de cuentas

Estos principios orientan el tratamiento de los datos para garantizar los derechos de privacidad de los interesados. Sirven como marco diseñado para mejorar el propósito más amplio del RGPD.

¿A quién se aplica el RGPD?

El RGPD se aplica a todas las organizaciones con un establecimiento en la UE y a cualquier organización que proporcione bienes y servicios a los interesados en la UE. Esto significa que el RGPD se aplica en los Estados Unidos a las empresas que interactúan con los ciudadanos de la UE. Todas las empresas importantes del mundo necesitan una estrategia de cumplimiento del RGPD.

¿Qué es el cumplimiento del RGPD?

El cumplimiento del RGPD es un marco de privacidad para proteger los datos de los ciudadanos de la UE. En virtud del RGPD, las organizaciones deben garantizar la protección de todos los datos privados para que no puedan ser utilizados indebidamente. El RGPD sólo permite la recopilación de datos específicos y exige a las organizaciones que gestionen y protejan esos datos de la explotación. Todas las organizaciones que procesan los datos personales de los ciudadanos de la UE deben adherirse a estas directrices o enfrentarse a sanciones por no cumplirlas.

ISO 27701 vs. RGPD

La ISO 27701 y el RGPD tienen muchos objetivos que se solapan. Ambas pretenden reforzar la privacidad de los datos y se centran en el proceso de obtención, gestión y protección de los mismos. Aunque se centran en los mismos requisitos generales, la ISO 27701 y el RGPD también presentan algunas diferencias clave. A continuación se exponen algunas de las principales similitudes, diferencias y solapamientos entre la norma ISO 27701 y el RGPD.

¿Cuáles son las similitudes entre la ISO 27701 y el RGPD?

Tanto el RGPD como la ISO 27701 pretenden proteger a los consumidores sentando las bases de unas normas éticas de privacidad de datos. Se complementan y colaboran para alcanzar los mismos objetivos. He aquí un resumen de lo que tienen en común:

1. Ambos asesoran sobre la confidencialidad de los datos

El RGPD se centra en la definición de los principios básicos de la recogida y el tratamiento de datos. Proporciona una guía a las organizaciones para evitar el tratamiento de datos no autorizado o ilegal y la pérdida accidental de datos.

La norma ISO 27701 también ayuda a las empresas a garantizar que practican la confidencialidad y la integridad de los datos. Varias cláusulas definen la seguridad de los datos. La ISO 27701 establece que las organizaciones deben identificar las amenazas relacionadas con la seguridad y determinar la seguridad informática creando un programa de seguridad.

2. Ambos hacen hincapié en la evaluación de riesgos

Tanto el RGPD como la ISO 27701 tienen un enfoque basado en el riesgo para la seguridad de los datos. El RGPD obliga a las empresas a evaluar los riesgos de los datos personales antes de procesar cualquier dato de alto riesgo. También exige a las empresas que identifiquen los riesgos antes de procesar cualquier información sensible.

La norma ISO 27701 también tiene un enfoque similar. También establece que las empresas deben realizar evaluaciones rigurosas para identificar cualquier posible amenaza que pueda comprometer la seguridad de la información. La ISO 27701 también aconseja a las organizaciones que tomen medidas para garantizar que estos riesgos se minimicen.

3. Responsabilizan a las empresas de las violaciones de datos

Según el RGPD, las empresas deben notificar a sus supervisores en un plazo de 72 horas una violación de la seguridad y notificar a las autoridades sin demora. Estas medidas deben tomarse solo cuando los datos comprometidos o robados supongan un alto riesgo para los derechos y libertades de los sujetos.

La norma ISO 27701 también especifica que las empresas deben informar rápidamente a las autoridades de cualquier fallo de seguridad o incidente. Sin embargo, a diferencia del RGPD, no especifica un plazo para hacerlo. La ISO 27701 solo aconseja a las empresas que informen para que se puedan tomar medidas correctivas sin demora.

4. Asesoran sobre la protección de datos en cada etapa

El RGPD especifica que las empresas deben disponer de medidas técnicas y organizativas cuando tratan los datos en la fase de diseño. Las empresas deben mantener la confidencialidad de los datos frente a otras partes. El RGPD también establece que las empresas sólo deben utilizar la información o los datos necesarios en cada fase de procesamiento.

La norma ISO 27701 tiene cláusulas similares que definen lo mismo. Requiere que las empresas comprendan el contexto y el alcance de los datos que han recogido de los usuarios y les exige que los mantengan confidenciales en todas las fases. También ordena a las empresas que lleven a cabo evaluaciones de riesgo periódicas para garantizar una seguridad completa.

5. Aconsejan a las empresas mantener registros precisos

El RGPD obliga a todas las empresas a mantener registros precisos de todas sus actividades de tratamiento, incluyendo la categoría de datos y la finalidad del tratamiento. También exige a las empresas que mantengan una descripción de sus medidas de seguridad organizativas y técnicas. Estos registros pueden ayudar a las autoridades en caso de una violación de la seguridad.

La norma ISO 27701 también ordena a las empresas que guarden registros de sus procesos de seguridad y exige a las empresas que guarden documentos de los resultados de sus evaluaciones de riesgo. Aconseja a las empresas almacenar toda la información de forma clasificada.

¿Cuáles son las diferencias entre la ISO 27701 y el RGPD?

La diferencia más notable entre la ISO 27701 y el RGPD está en su aplicación. El RGPD es un conjunto de requisitos que se centra en la protección de los datos personales, la confidencialidad de los datos y la gestión de los riesgos para los derechos de las personas. Proporciona un conjunto de normas que todas las organizaciones deben cumplir. La norma ISO 27701, por su parte, ofrece orientación real a las organizaciones sobre cómo pueden mejorar sus medidas de seguridad, qué políticas pueden aplicar y cómo pueden reducir el riesgo de cualquier incidente.

La ISO 27701 es una extensión de la ISO 27001, la norma internacional de seguridad de la información.  Las organizaciones deben estar ya certificadas según la ISO 27001 para poder aplicar y cumplir la ISO 27701.

Las empresas que cumplen con el RGPD deben proporcionar un tratamiento seguro de los datos personales. Deben aplicar las medidas adecuadas para garantizar una protección completa de los datos. Sin embargo, el RGPD no proporciona ningún detalle técnico sobre cómo las organizaciones deben mantener estos niveles de seguridad requeridos. La norma ISO 27701 colma esta laguna y proporciona medidas que las empresas pueden adoptar para reducir cualquier amenaza a la seguridad. Dicho de otro modo, el RGPD identifica los requisitos, y la ISO 27701 ofrece soluciones.

La mayoría de la gente piensa que el cumplimiento de la norma ISO 27701 es lo mismo que el cumplimiento del RGPD, pero no es así. Sin embargo, cuando las empresas cumplen con la ISO 27701, les proporciona una vía clara para el cumplimiento del RGPD también. Juntas, estas dos normas pueden ayudar a las empresas a desarrollar medidas lo suficientemente sólidas para salvaguardar la información y los datos personales que recopilan.

Es extremadamente importante saber que la ISO 27701 y el RGPD no son intercambiables. No basta con cumplir una e ignorar la otra. Aunque algunos de los aspectos de seguridad de estas dos normas se solapan, el RGPD es un conjunto de normas y directrices mucho más amplio. El RGPD prescribe cómo deben procesarse, gestionarse y manipularse estos datos recogidos.

¿Dónde se solapan la ISO 27701 y el RGPD?

Una empresa que cumple con el RGPD debe manejar todos los datos que recopila con el máximo cuidado y está obligada a proteger estos datos para que no caigan en manos equivocadas. La norma ISO 27701 amplía este marco y garantiza que todos los datos que una empresa recopila están seguros y protegidos. Si el cumplimiento del RGPD sirve de base para la protección de datos, la aplicación de otras normas de seguridad de la información como la ISO 27701 no hará sino reforzar las políticas de una empresa.

Para cumplir realmente con el RGPD, una empresa debe entender qué datos se le permite almacenar. El RGPD también define lo que puede hacer con los datos almacenados. Sin embargo, esto no significa que la norma ISO 27701 no sea importante. La ISO 27701 garantiza que ninguno de los artículos del RGPD se viole involuntariamente. Muchas empresas tienen dificultades para aplicar las políticas y medidas adecuadas. La norma ISO 27701 está pensada para ayudar a orientarlas. Un sistema de gestión de la seguridad de la información adecuado es extremadamente esencial para cumplir con el RGPD. Así, mientras que el RGPD garantiza que sus medidas de seguridad están en su lugar, la ISO 27701 le guía para entender la seguridad en un nivel más profundo mediante la implementación de un Sistema de Gestión de la Información de Privacidad.

¿Es posible la certificación del GDPR?

Todavía no: El RGPD permite la existencia de sistemas de certificación, pero actualmente no se ha aprobado ninguno en el Reino Unido.  Para que una empresa certifique su cumplimiento de la legislación del RGPD, debe cumplir varias obligaciones. La organización que desee obtener una certificación del RGPD debe cumplir con todo el proceso supervisado por una parte certificada. Debe seguir un esquema de certificación específico que haga un seguimiento del proceso de recogida y tratamiento de datos, y luego un auditor debe evaluar este proceso.

Una certificación del RGPD le ayuda a adelantarse a sus competidores. También garantiza que su organización respeta la privacidad de los datos de sus clientes. La certificación del RGPD demuestra que las empresas se adhieren a todas las normas especificadas en el RGPD. La certificación puede ayudar a generar confianza con sus clientes, ya que demuestra que tiene políticas sólidas de protección de datos para protegerlos. Contar con una certificación del RGPD es extremadamente beneficioso, y puede tener muchas ventajas para su empresa.

¿Cómo puede cumplir con el RGPD?

El RGPD obliga a su organización a demostrar el cumplimiento de la ley. Puede demostrarlo de tres de las siguientes maneras:

• Puede facilitar todos sus datos y procesos como prueba a petición de la autoridad.

• Puede adherirse a un código de conducta aprobado para su sector empresarial (no existe ninguno en el Reino Unido).

• Puede obtener una certificación RGPD (no hay ninguna disponible en el Reino Unido).

Cómo obtener la certificación ISO 27701

La norma ISO 27701 proporciona los requisitos y la orientación para un sistema de gestión de la información sobre la privacidad. Como extensión de la norma ISO 27001, tiende un puente entre la privacidad y la seguridad de los datos. Orienta a las organizaciones en la implementación de políticas para cumplir con el RGPD y otras regulaciones de datos personales.

Si su organización quiere obtener la certificación ISO 27701 para ayudarle a cumplir con el RGPD, debe tener una certificación ISO 27001 existente, ya que la ISO 27701 es una extensión. Si su empresa no tiene ya la certificación ISO 27001, puede implantar la ISO 27001 y la ISO 27701 juntas. Para cumplir con la ISO 27001, necesita un Sistema de Gestión de Seguridad de la Información (SGSI).

Para implantar la ISO 27701, su empresa tendrá que diseñar, construir e implantar un Sistema de Gestión de la Información sobre la Privacidad (PIMS). El nuevo sistema que implemente también debe cumplir con cualquier normativa internacional o nacional que se aplique a su organización.

Una certificación ISO 27701 puede ofrecer muchas ventajas a su organización. Puede ayudarle a evitar multas o sanciones debidas a una implementación débil o incompleta de la política y ayudarle a cumplir con la normativa de protección de datos. Si su empresa debe tener un SGSI para cumplir con la normativa, la certificación ISO 27701 también puede tener un impacto positivo en el retorno de la inversión (ROI) al ganarse la confianza de las partes interesadas. La norma ISO 27701 se ha convertido en el nuevo estándar internacional para la privacidad de los datos.

Obtenga la certificación ISO 27701 con NQA

Todos los días se introducen nuevas leyes que tienen importantes implicaciones en el uso legal y ético de los datos por parte de las personas y las organizaciones. La protección de datos se ha convertido en algo esencial en la era digital. Leyes como el RGPD se actualizan y aplican para garantizar que las empresas y otras organizaciones gestionen y protejan los datos personales con cuidado.

Esto nos lleva a preguntarnos cómo se aseguran las empresas de que se aplican las políticas adecuadas. Por eso existen normas como la ISO 27701. La nueva norma ISO 27701 proporciona una mejor comprensión de la privacidad y la seguridad. Ayuda a las empresas a disponer de un marco coherente para planificar y aplicar un enfoque que garantice la completa protección de los datos de sus clientes. Si está certificado según la norma ISO 27001, no tiene motivos para no aplicar la norma ISO 27701. Amplía la ISO 27001 y proporciona un marco de seguridad completo para su organización.