Herramienta clave de Protección de Datos y Privacidad

El aumento de la preocupación por la privacidad en relación con las aplicaciones de las redes sociales y los dispositivos IoT, así como la proliferación mundial de leyes y reglamentos de privacidad, hacen que las organizaciones se enfrenten a la presión de clientes, usuarios finales, inversores y organismos reguladores sobre la forma en que gestionan la información de identificación personal (IIP) o los datos personales. La creación de muchas leyes de privacidad de amplia influencia, como el Reglamento General de Protección de Datos de la UE (RGPD), la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Ciberseguridad de China, POPIA de Sudáfrica o LGPD de Brasil ha impuesto una presión significativa sobre las organizaciones para que examinen este asunto.

Frecuentemente, el concepto de “privacidad” es malinterpretado y, por ello, muchas organizaciones consideran suficiente no transmitir los datos a terceros y asegurar que sus bases de datos estén protegidas por contraseña. Conceptos como “consentimiento”, “finalidad de la recogida” o “transferencia transfronteriza” se ignoran o no se entienden.

Las fuertes sanciones del RGPD han hecho que muchas organizaciones empiecen a prestar especial atención a los riesgos de la privacidad e implantar las medidas para mitigarlos. Ante esto, se están redactando leyes y reglamentos de privacidad similares en todo el mundo, además de la necesidad de un código de conducta, o estándar, para demostrar el cumplimiento de los principios de protección de privacidad de datos y la certificación. En 2019, la Organización Internacional de Normalización (ISO), junto con la Comisión Electrotécnica Internacional (IEC), publicó la Norma ISO/IEC 27701, que proporciona un enfoque internacional de la protección de la privacidad como una extensión de la seguridad de la información.

En este sentido, la Asociación Española de Normalización (UNE) ha publicado la Norma UNE-EN ISO/IEC 27701:2021 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. La ISO/IEC 27701 es el primer estándar mundial de sistema de gestión de privacidad de la información (SGPI) certificable y ahora ha sido adoptado por el comité técnico de normalización CTN 320 Ciberseguridad y Protección de Datos Personales e incorporado en su versión oficial en español al catálogo nacional de normas como UNE-EN ISO/IEC 27701:2021.

El estándar ISO/IEC 27701 ha sido aprobado por 50 países miembros del comité internacional ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection, entre ellos España. Cabe destacar que España participa activamente a través del CTN 320 Ciberseguridad y Protección de Datos Personales secretariado por UNE.

La nueva Norma UNE-EN ISO/IEC 27701:2021 especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un SGPI en forma de extensión de las Normas ISO/IEC 27001 e ISO/IEC 27002.

En esta misma línea, proporciona un marco para la gestión de la privacidad de los datos que se basa en la Norma ISO/IEC 27001. Las buenas prácticas recomendadas orientan a las organizaciones sobre las políticas y los procedimientos que deben aplicarse para cumplir con el RGPD y otras leyes sobre este mismo ámbito.

Además, establece un conjunto detallado de las checklists operativas. Esto quiere decir que las empresas documentan sus políticas, procedimientos, protocolos y actividades de acuerdo con las checklists de la norma, y estos registros son verificados por auditores internos y de terceros, lo que da lugar a pruebas detalladas del cumplimiento de la norma.

Gracias a la Norma UNE-EN ISO/IEC 27701:2021 las empresas podrán demostrar a los consumidores y a las organizaciones de manera externa e interna que existen mecanismos para mantener los datos seguros y cumplir con el RGPD y otras legislaciones de privacidad.

Las Normas ISO/IEC 27701 e ISO/IEC 27001 se combinan a la perfección en cuanto a requisitos certificables y directrices de aplicación. La primera es una ampliación de la segunda, que añade requisitos relacionados con el SGPI, como la cláusula 5, el anexo A y el anexo B. Estos requisitos son declaraciones de debe (“shall”), 67 en total en la norma. Además, la Norma ISO/IEC 27701 también añade orientaciones para el SGPI en la Norma ISO/IEC 27002, por ejemplo, en las cláusulas 6, 7 y 8.

Así pues, las organizaciones que pretendan implementar la Norma ISO/IEC 27701 deben contar con un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001 o completar ambas normas simultáneamente.

La norma ha sido diseñada para ser utilizada por todos los responsables y encargados del tratamiento de datos de carácter personal. Y, al igual que la ISO/IEC 27001, se apoya en un enfoque basado en el riesgo. De esta forma, cada organización puede acometer los riesgos específicos relacionados con los datos personales y la privacidad.

Gracias a la Norma ISO/IEC 27701, las empresas podrán demostrar el cumplimiento de una amplia variedad de leyes de privacidad nacionales e internacionales.

En resumen, la implantación de la Norma UNE-EN ISO/IEC 27701 se convierte en una ventaja competitiva para las organizaciones. El compromiso con la seguridad y privacidad de la información y con el cumplimiento de las regulaciones de protección de datos mejora la reputación e imagen de las organizaciones.

La protección de las personas físicas en relación con el tratamiento sus datos personales es un derecho fundamental. Las organizaciones tienen el imperativo legal de proteger este derecho en un contexto regulatorio que ha evolucionado desde el año 1981 hasta la entrada en vigor del vigente Reglamento Europeo de Protección de Datos (RGPD), donde el concepto de privacidad ha calado significativamente en la sociedad.

Microempresas, pymes, Administraciones Públicas y grandes empresas gestionan un mayor o menor volumen de datos personales, más o menos sensibles, con tecnologías disruptivas en un mundo globalizado y cada vez más interconectado. En este contexto, proteger eficazmente la privacidad es un gran reto, por lo que la metodología basada en la mejora continua que aportan los estándares es, en mi opinión, la mejor forma de garantizar y acreditar no solo el cumplimiento normativo, sino el gobierno y la gestión eficaz para proteger este derecho fundamental y proteger los intereses de las organizaciones.

Recordemos que la mayor novedad que presenta el RGPD es la evolución de un modelo basado en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa; lo que exige una previa valoración del riesgo que pudiera generar el tratamiento de los datos personales para adoptar así las medidas que procedan. Es aquí donde la Norma UNE-EN ISO/IEC 27701:2021 aporta una metodología proactiva para un mayor control sobre la Privacidad y demostrar la conformidad con el RGPD.

La Norma UNE-ISO/IEC 27001 centra su atención en la gestión de la seguridad de la información y la extensión que aporta la versión de 2021 no solo en la gestión de la seguridad de la información que afecta a la Privacidad, sino también a todo el cumplimiento de todos los requisitos legales exigidos en el RGPD.

Por mi experiencia práctica, implementar esta norma no es tarea fácil y siempre dependerá del nivel de cumplimiento que una organización tenga documentado con carácter previo al inicio del proceso de implementación. En todo caso, el hecho de que la sociedad verifique y evalúe con mayor rapidez el nivel de protección de la privacidad de nuestros productos y servicios, sin duda, merece la pena.