Guía implementación ISO 27701
Gestión de la información personal con la norma ISO/IEC 27701
Desde 2016 y en un periodo de tiempo relativamente corto, se ha aprobado una moderna legislación de protección de datos en muchos países del mundo. La más notable es el Reglamento General de Protección de Datos (RGPD) de la UE, que ha dado forma a los requisitos para que las organizaciones garanticen los derechos de los interesados al procesar sus datos personales. La relativa rapidez con la que se ha establecido esta legislación ha dejado a algunas organizaciones incapaces de responder adecuadamente, y se han producido infracciones muy publicitadas.
A pesar del despliegue bien señalado del RGPD, éste no proporciona orientación específica sobre las medidas que deben adoptarse para garantizar el cumplimiento de sus requisitos. Además, las normas existentes no cuentan, en la mayoría de los casos, con un conjunto de cláusulas o controles lo suficientemente sólido como para garantizar que la privacidad de los datos se aborde en su totalidad mediante la aplicación de sistemas de gestión.
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) han desarrollado la norma ISO 27701 con el fin de proporcionar la orientación necesaria para que las empresas aborden de forma eficaz la privacidad de los datos y garanticen que la brecha entre los requisitos de los sistemas de gestión existentes y las legislaciones mundiales sobre privacidad de los datos se reduzca efectivamente.
RGPD - UNA VISIÓN GENERAL DE LA LEGISLACIÓN
El RGPD fue adoptado por la UE en abril de 2016 y sustituyó a la Directiva 95/46/CE sobre protección de datos. Esta nueva legislación ha iniciado obligaciones para cualquier organización con responsabilidades de procesamiento de datos, y es aplicable también a organizaciones fuera de la UE. Ha armonizado la legislación sobre privacidad en todo el EEE.
Cualquier entidad no perteneciente a la UE que ofrezca bienes o servicios a personas situadas en la UE también está obligada a cumplir los requisitos del RGPD. Las empresas y organizaciones con requisitos de tratamiento de datos personales considerables se ven especialmente afectadas y garantizar la conformidad con la legislación es primordial.
Las organizaciones deben tener una base legal para el tratamiento de los datos personales y sólo los tratan con un fin determinado. Las personas tienen derecho a solicitar una copia de todos los datos que se conservan sobre ellas, incluyendo una explicación de cómo se utilizan dichos datos y si terceros tienen acceso a ellos.
Las personas pueden solicitar que su perfil de datos se transmita a otro procesador de datos; además, las personas también tienen derecho a retirar el consentimiento para el tratamiento y a solicitar que se borren los datos que ya no son necesarios.
Las organizaciones y personas que tratan datos personales están ahora obligadas a establecer controles de seguridad adecuados para garantizar la confidencialidad de los datos que poseen o tratan. Los datos personales pueden transferirse fuera de la UE, pero sólo a países que se considere que tienen una legislación adecuada para preservar los derechos de los interesados de la UE.
Las notificaciones de violaciones de datos deben presentarse a la autoridad supervisora; en el caso del Reino Unido, se trata de la Oficina de Comisionados de Información (ICO) en un plazo de 72 horas desde que se reconoce la existencia de una violación. La ICO es la autoridad independiente del Reino Unido creada para defender los derechos de la información en el interés público, promoviendo la apertura de los organismos públicos y la privacidad de los datos de los individuos.
¿Qué es la ISO 27701 y por qué es necesaria?
Al igual que ocurre con muchas legislaciones sobre privacidad en todo el mundo, hay muy poca orientación sobre cómo implementar procesos para cumplir con el GDPR. La norma ISO 27701:2019 es una extensión de la norma internacional de gestión de la seguridad de la información, ISO 27001 (ISO 27701 Técnicas de seguridad - Extensión a la ISO 27001 e ISO 27002 para la gestión de la información sobre la privacidad - Requisitos y directrices).
La norma ISO 27701 detalla los requisitos y ofrece la orientación necesaria para el establecimiento, la implantación, el mantenimiento y la mejora de un Sistema de Gestión de la Información sobre la Privacidad (PIMS). La norma se basa en los requisitos, los objetivos de control y los controles de la norma ISO 27001, e incluye un conjunto de requisitos de privacidad, controles y objetivos de control.
Los conceptos de seguridad de la información son familiares para las organizaciones que ya tienen un Sistema de Gestión de la Seguridad de la Información (SGSI) operativo. El nuevo PIMS garantizará que las organizaciones dispongan de una gobernanza de datos completa y universalmente aplicable que se ajuste directamente a los requisitos legislativos de sus jurisdicciones.
La norma se redactó con la aportación de expertos y autoridades de protección de datos de todo el mundo, incluido el Consejo Europeo de Protección de Datos. Se han tenido en cuenta las legislaciones de protección de datos de todos los continentes. Se aproxima al RGPD y cada cláusula se corresponde con los artículos correspondientes del mismo.
Pero la ISO 27701 no es específica al RGPD, es una norma mundial. Y representa el estado del arte en términos de protección de la privacidad. Las organizaciones que la apliquen demostrarán un enfoque proactivo de la protección de los datos personales.
Basada en la ISO 27001
La ISO 27701 difiere ligeramente en que la norma requiere un sistema de gestión existente al que adherirse. No todas las cláusulas y controles son aplicables en todos los casos.
Los requisitos de la norma se dividen en los cuatro grupos siguientes:
-
Los requisitos del PIMS relacionados con la norma ISO 27001 se describen en la cláusula 5
-
Los requisitos del PIMS relacionados con la norma ISO 27002 se describen en la cláusula 6
-
Las orientaciones del PIMS para los responsables del tratamiento de la Información Personalmente Identificable (IPI) se describen en la cláusula 7
-
Las orientaciones del PIMS para los encargados del tratamiento de la información de identificación personal se describen en la cláusula 8
Además, los controles aplicables se describen en los anexos del cuerpo principal de la norma.
Lo siguiente puede servir de guía para la relevancia:
-
En el anexo A se enumeran todos los controles aplicables a los encargafos del tratamiento de la información pública.
-
En el anexo B se enumeran todos los controles aplicables a los responsables del tratamiento de la información de identificación personal.
-
El anexo C relaciona las disposiciones de la norma ISO 27701 con la norma ISO 29100.
-
El anexo D relaciona las disposiciones de la norma ISO 27701 con el RGPD.
-
El anexo E relaciona las disposiciones de la norma ISO 27701 con las normas ISO 27018 e ISO 29151.
-
El Anexo F proporciona una guía para aplicar la ISO 27701 a la ISO 27001 y a la ISO 27002.
En la mayoría de los casos, las organizaciones que ya cuentan con la certificación ISO 27001 deberían empezar por el anexo F para entender cómo encaja la aplicación del PIMS en su actual SGSI ISO 27001. Este anexo hace referencia a tres casos de aplicación de la norma:
-
Aplicación de las normas de seguridad tal cual
-
Adiciones a las normas de seguridad
-
Perfeccionamiento de las normas de seguridad
Las cláusulas 5 a 8 del PIMS amplían los requisitos de la norma ISO 27001 para incorporar consideraciones relativas a la información de identificación personal. La cláusula 5 proporciona una orientación específica para el PIMS en relación con los requisitos de seguridad de la información de la norma ISO 27001 adecuados para una organización que actúa como controlador o procesador de la IIP. Las organizaciones deben implementar una Declaración de Aplicabilidad (SoA) del PIMS que esté influenciada por si son un controlador o un procesador (o ambos).
Las organizaciones pueden crear un SGSI-PIMS combinado y ampliar su SdA del SGSI para incluir los controles del PIMS.
Anexo A + Cláusula 6 = 37 controles reforzados
Anexo A + Cláusula 7 = 31 nuevos controles para los controladores
Anexo A - Cláusula 8 = 18 nuevos controles para los transformadores
Consideraciones adicionales
A continuación se detallan las consideraciones adicionales dentro de la cláusula 5 de la norma ISO 27701 que pueden observarse como extra a los requisitos existentes del SGSI:
| 5.1 | Los requisitos de la norma ISO 27001 deben ampliarse a la protección de la privacidad, ya que puede verse afectada por el tratamiento de la información de identificación personal. Un vistazo al Anexo F proporciona una tabla que da una indicación visual de cómo será esto. |
| 5.2.1 | Un requisito adicional a la cláusula 4.1 de la ISO 27001 es señalar que una organización determinará su papel como controlador y/o procesador de PII. Además, es necesario indicar los factores externos e internos que son relevantes para el contexto y que afectan a la capacidad de lograr los resultados de su PIMS. Esto incluye cualquier adhesión a la legislación pertinente que ya esté en vigor como una consideración dentro del SGSI existente o los requisitos contractuales que hasta ahora habían sido identificados en diferentes cláusulas o controles del anexo dentro de la norma ISO 27001. |
Cuando una organización tenga identificadas las funciones de controlador de la IPS y de procesador de la IPS, deberán determinarse funciones separadas, cada una de las cuales estará sujeta a un conjunto de controles distinto.
| 5.2.2 | Una consideración adicional a la cláusula 4.2 de la ISO 27001 es el requisito de incluir a las partes interesadas con responsabilidades asociadas al procesamiento de la información personal. Esto puede incluir a los clientes, lo cual, de nuevo, no es algo que se haya considerado previamente en un SGSI ISO 27001. Además, los requisitos que son relevantes para el procesamiento de la información personal pueden ser determinados por los requisitos legales, las obligaciones contractuales o los objetivos auto-identificados. |
| 5.2.3 | El alcance del SGSI es requerido por la cláusula 4.3 de la norma ISO 27001. Los factores adicionales de PIMS para el alcance incluyen una organización que incluye el procesamiento de PII. La determinación del alcance del PIMS, por lo tanto, puede requerir una revisión del SGSI debido a la ampliación de la interpretación de lo que constituye la seguridad de la información en la cláusula 5.1 de la norma ISO 27701. |
| 5.2.4 | Además de la cláusula 4.4 de la norma ISO 27001, se requiere que una organización establezca, implemente, mantenga y mejore continuamente un PIMS de acuerdo con los requisitos de las cláusulas 4 a 10 de la norma ISO 27001:2013, ampliados por los requisitos de la cláusula 5. |
| 5.3 | Dentro de la norma ISO 27001, se requiere que las organizaciones demuestren su compromiso con el SGSI a través de iniciativas de liderazgo y la creación de políticas, funciones y responsabilidades y orientación. Del mismo modo, el PIMS requiere una aportación similar por parte de la alta dirección junto con las interpretaciones específicas del PIMS, tal y como se indica en el punto 5.1 de la norma ISO 27701, que cubre todos los aspectos reflejados en la cláusula 5 del SGSI. |
| 5.4.1 |
Los requisitos de la norma ISO 27001 para abordar los riesgos y las oportunidades requieren un aumento con las consideraciones de la cláusula 5.1 de la norma ISO 27701. Además, las evaluaciones de riesgo de la seguridad de la información identificadas en la norma ISO 27001 son aplicables con los siguientes requisitos adicionales: 1. La organización aplicará el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad, dentro del ámbito del PIMS. 2. La organización aplicará el proceso de evaluación del riesgo para la privacidad para identificar los riesgos relacionados con el tratamiento de la información de identificación personal, dentro del ámbito del PIMS. 3. La organización se asegurará, a lo largo de los procesos de evaluación de riesgos, de que la relación entre la seguridad de la información y la protección de la información personal se gestiona adecuadamente. Puede tratarse de un proceso integrado de evaluación de riesgos o de procesos paralelos que se controlan por separado; esto depende totalmente de la organización para determinarlo. Además, la cláusula 6.1.2.d de la ISO 27001 se ha perfeccionado para incluir una evaluación de las posibles consecuencias, tanto para la organización como para los responsables de la información personal, que se producirían si se materializaran los riesgos identificados durante el apartado 6.1.2.c (ISO 27001). También se tiene en cuenta la Declaración de Aplicabilidad que habría generado la organización al implantar el SGSI ISO 27001. Como una organización se habría encontrado con un enfoque de "optar y justificar" para producir el SoA en primera instancia, al igual que para el PIMS, no todos los objetivos de control y Los controles enumerados en las zonas del anexo deben incluirse durante la aplicación del PIMS. Se puede justificar la exclusión de los controles que no se consideren necesarios. |
| 5.4.2 | Deben tenerse en cuenta los objetivos de seguridad de la información del SGSI de la organización, de la cláusula 6.2, aumentados por la interpretación de la cláusula 5.1 de la norma ISO 27701. |
| 5.5 | Las consideraciones de apoyo de la ISO 27001 en la cláusula 7 son aplicables junto con la interpretación adicional especificada en la ISO 27701 cláusula 5.1. |
| 5.6 | Las consideraciones operativas de la norma ISO 27001 en su cláusula 8, incluida la planificación del tratamiento de riesgos, son igualmente exigidas por la norma ISO 27701, junto con información adicional que se identifica al abordar la cláusula 5.1 de esta última norma. |
| 5.7/5.8 | Del mismo modo, las consideraciones sobre el seguimiento, la medición y la mejora que están presentes en un SGSI existente requieren un aumento de las consideraciones dadas en la cláusula 5.1 de la norma ISO 27701. |
Los procesos identificados anteriormente indican que la cláusula 5.1 de la nueva norma es un punto clave para la implantación de un PIMS. La ampliación de la protección de la privacidad para el tratamiento de la información de identificación personal es un elemento clave para la aplicación. Orienta las consideraciones que deben tenerse en cuenta a la hora de abordar las demás áreas de la cláusula de la norma ISO 27701.
La siguiente tabla ofrece un resumen sencillo de la información de la página anterior:
| Cláusula ISO 27001 | Extensión ISO 27701 |
|---|---|
| 5.1 5.2 5.3 7.1 7.4 |
Compromiso de alto nivel para la política de privacidad y la integración del PIMS en el SGSI, incluyendo 1. Contratación/establecimiento de funciones 2. Comunicación (interna/externa) 3. Resultados previstos 4. Control y orientación 5. Mejora continua del PIMS |
| 6.2 | Objetivos de PIMS/Privacidad |
| 7.2 | Perfiles de competencia de las personas asignadas a las funciones de privacidad |
| 7.3 | Conocimiento de la política del PIMS y de cómo el personal contribuye al establecimiento y la mejora del sistema |
| 7.5 | Documentación para el PIMS con consideraciones adicionales sobre la información y documentación no orgánica de la organización. |
| 8.1 | Activación del tratamiento de riesgos del PIMS |
| 8.2 | Proceso de evaluación de riesgos del PIMS |
| 8.3 | Plan de tratamiento de riesgos del PIMS, incluidas las modificaciones de los registros de riesgos existentes |
| 9.1 9.2 9.3 |
Rendimiento del PIMS y análisis de la eficacia del PIMS, incluyendo: 1. Auditoría interna 2. Revisión por la dirección |
| 10 | Consideraciones sobre la mejora continua del PIMS |
Para obtener un presupuesto para la certificación ISO 27701, simplemente haga clic aquí y rellene nuestro formulario de presupuesto online.
Puede descargar un PDF de esta guía de implementación aquí: Guía de implementación de la norma ISO 27701 de NQA.