Protección de datos y certificación ISO 27701 

Desde que el RGPD entró en vigor en 2018, muchas cosas han cambiado en la protección de datos. Se aplican requisitos adicionales para las empresas. El incumplimiento puede dar lugar a sanciones millonarias relacionadas con las ventas. Por lo tanto, recientemente, la necesidad de introducir una certificación de protección de datos separada se hizo muy alta en los círculos de expertos.

La certificación ISO puede ayudar a garantizar que las empresas cumplan la normativa de protección de datos pertinente. Ahora, las empresas deben obtener la certificación ISO 27701 en protección de datos y demostrar así el máximo nivel de seguridad de los datos.

Pero, ¿se ha conseguido? ¿Qué dice la ISO sobre la protección de datos? ¿Y cómo funciona exactamente la certificación ISO 27701? - En este artículo respondemos a estas y otras preguntas.

Los datos más importantes de un vistazo 

• La certificación ISO está pensada para ser utilizada como prueba para demostrar que los datos personales se procesan de acuerdo con el RGPD. 
• La norma ISO 27701 complementa las normas ISO 27001 y 27002, especialmente en lo que respecta a los sistemas de gestión y el tratamiento de datos. 
• La certificación es beneficiosa si un sistema SGSI ya está en marcha y sólo hay que completarlo.
• La ventaja más importante de esta certificación es que permite a las empresas no sólo cumplir los requisitos legales de la UE sino también presentar una certificación reconocida internacionalmente . 

¿Por qué la certificación de protección de datos?

El tema de la protección de datos ha adquirido un papel mucho más importante que nunca. Por lo tanto, el deseo de una certificación de protección de datos ha sido expresada por muchas partes.

Esta certificación debe tener en cuenta la normativa del RGPD y facilitar a las empresas la integración de la gestión de la protección de datos conforme a la ley en sus procesos empresariales. La ISO 27701 pretende cumplir este deseo como certificación correspondiente.

Es bueno saberlo: Dicha certificación también está explícitamente prevista en el art. 42 del RGPD. 

¿Cuál es la diferencia entre ISO y SGSI? 

La certificación ISO es una norma que pretende demostrar el cumplimiento de la normativa en materia de protección de datos, entre otras cosas. Así, la ISO 27701 complementa un sistema de gestión de la seguridad de la información (SGSI).

Muchas empresas que ya utilizan un SGSI solo tienen que integrar los requisitos ISO en su sistema actual y ampliar los procesos. Por ejemplo, la obligación de notificar los incidentes de seguridad y protección de datos definidos por el RGPD puede integrarse en los procesos ISO y gestionarse automáticamente. El sofisticado sistema ISO también permite un registro de tratamiento más eficiente.

¿Qué es la ISO? 

ISO es la abreviatura de la International Organization for Standardization (Organización Internacional de Normalización), que se ha propuesto establecer normas uniformes para los productos y servicios en todo el mundo.

Es, por tanto, la contrapartida internacional del Instituto Alemán de Normalización (DIN), representando a Alemania en la ISO. Desde su fundación en 1947, la organización suiza ha publicado ya 24.000 normas en todos los ámbitos de la vida.

Para las empresas afectadas por la protección de datos, las normas ISO de la serie 2700 son especialmente relevantes. Las normas 27xxx se relacionan con la seguridad de la información y la protección de datos. La norma y la base principal es siempre ISO 27001. Además, otras normas ISO complementan o concretan la ISO 27001 y proporcionan información detallada específica del sector.

Para las normas ISO son imprescindibles los llamadas sistemas de gestión. Se describen en la norma DIN EN ISO EC 27000, capítulo 3.2.5, de la siguiente manera

Es importante: Un sistema de gestión debe ser pensado y establecido en la organización a largo plazo. Requiere mejora, desarrollo y control continuos para que el sistema funcione en materia de certificación ISO.

¿Cuál es la diferencia entre ISO y RGPD?

El RGPD es una regulación de la Unión Europea (UE), que obliga a todas las empresas y autoridades de los miembros a cumplir los requisitos de la ley de protección de datos. Se trata, por tanto, de una normalización jurídica que no es dispositiva, sino obligatoria .

Por otro lado, la norma internacional ISO por su parte, es un conjunto de normas voluntarias para las empresas. Son directrices cuyo cumplimiento puede certificarse, pero las empresas no están obligadas por el estado a cumplirlas. La situación es diferente si una empresa se compromete contractualmente a su cumplimiento, por ejemplo, con otro socio contractual o en el caso de la certificación.

En lenguaje sencillo: Las normas ISO sólo se convierten en jurídicamente vinculantes cuando las leyes o reglamentos las citan o hacen referencia a ellas, y se convierten así en el contenido de la ley.

Pero las normas ISO se utilizan a menudo como "peritaje anticipado" en los procesos judiciales. Esto significa que si una empresa los utiliza y los cumple, esto habla en su favor.

¿Qué es la certificación ISO 27701? 

La ISO 27701 es un certificado para la gestión de la protección de datos. Amplía la norma reconocida internacionalmente en materia de protección de datos y seguridad de la información. La normativa pretende garantizar el tratamiento de datos personales conforme al RGPD. Por lo tanto, la atención se centra también en los requisitos sistemáticos de los sistemas de gestión de la protección de datos que tienen como objeto la seguridad de la información.

La certificación con la norma ISO 27701 requiere que los requisitos de 27001 (Sistema de gestión de la seguridad de la información) se cumplan. Además de la ISO 27001, la nueva norma ISO también incluye extensiones de la ISO 27002, que contiene orientaciones sobre la aplicación de la primera.

ISO 27701 contiene orientaciones sobre los siguientes puntos:

• Mejoras en la protección de datos
• Nombramiento y designación de los responsables del "Sistema de Gestión de la Información sobre la Privacidad" (PIMS)
• Formación en protección de datos para los empleados
• Registro de los accesos y cambios a los datos o de las personas autorizadas a acceder a ellos
• Cifrado de datos personales especialmente sensibles
• Incorporación del principio de "privacidad por diseño"
• Revisión de los incidentes de protección de datos

En cuanto a su contenido, la norma ISO 27701 establece el vínculo entre las medidas de protección de datos y la seguridad de la información, fijando normas para el establecimiento, la aplicación y la mejora de la gestión de la información sobre protección de datos. Estos sistemas son verificados y certificados por organismos de certificación acreditado por el DakkS (organismo de acreditación alemán).

¿Cuáles son las ventajas de la certificación ISO 27701? 

Para cumplir con todos los requisitos legales y operativos en materia de protección de datos, ahora es esencial que las empresas establezcan y apliquen un sólido sistema de gestión de la protección de datos.

Como parte de las normas del SGSI, la certificación ISO 27701 contribuye significativamente a un alto nivel de seguridad de la información. Esto ofrece a las empresas la ventaja de integrar en sus operaciones un sistema de gestión completo y seguro para la seguridad de la información y la protección de datos.

Los siguientes aspectos de Certificación ISO 27701 son especialmente destacables:

• El cumplimiento de la norma ISO como estándar internacional refuerza la confianza en la protección de datos de la empresa. Es una prueba reconocida internacionalmente del cumplimiento de la normativa de protección de datos, no solo en la Unión Europea (UE).
• Una vez certificado, ayuda a las empresas a cumplir con el RGPD a largo plazo.
• La certificación ISO 27701 también puede facilitar la prueba del tratamiento de datos conforme al RGPD, lo que simplifica las negociaciones contractuales, ya que no es necesario contar con normativas individuales.
• La certificación aclara las responsabilidades y los deberes. Proporciona criterios y normas transparentes para todas las partes implicadas.
• Crea un vínculo entre el SGSI y los sistemas de gestión de la protección de datos.

Protección de datos según la norma ISO 27701 

ISO 27701 tiene la misma estructura que ISO 27001 y la amplía con la implantación de un sistema de gestión para la protección de datos. La norma añade aspectos de protección de datos a las directrices y, por tanto, representa una ampliación del SGSI existente en gestión de la protección de datos. 

A diferencia de otras normas ISO, la ISO 27701 no se centra en la seguridad de la información sino en la protección de los datos personales y de los afectados. Por lo tanto, el SGSI existente debe ampliarse y complementarse para incluir la protección de los grupos de personas afectados.

Por un lado, la protección de datos y seguridad de la información están entrelazados, pero por otro lado, también debe haber espacio para medidas que sirvan exclusivamente a la protección de datos.

A continuación se resumen las adiciones más significativas de la norma ISO 27701.

Gestión de incidentes de protección de datos según la norma ISO 27701

La ISO 27701 amplía las especificaciones para el tratamiento de los incidentes de protección de datos, que antes estaban regulados en la ISO 27001 y la ISO 27002.

• En primer lugar, la norma ISO 27701 exige que las organizaciones designen responsables claros para identificar y documentar las violaciones de la protección de datos.
• Asimismo, las responsabilidades y los procedimientos relativos a la notificación de los afectados y de las autoridades competentes, teniendo en cuenta la normativa legal.
• Al mismo tiempo, es necesario revisar todos los procesos internos y los incidentes de seguridad para las violaciones de la protección de datos y desarrollar un plan de reacción que se activa de inmediato cuando se produce una infracción de este tipo.
• Estos planes y sistemas también deben incorporarse posteriormente a todos los contratos con los clientes (es decir, las partes potencialmente afectadas) y con todos los demás contratistas, de modo que todas las acciones de la empresa participen en estos planes y sean supervisadas.
• Las empresas deben integrar estas normas ISO 27701 en su actual SGSI. La mejor manera de hacerlo es, en primer lugar, examinar detenidamente la normativa sobre profilaxis y gestión de emergencias y, si es necesario, completarla en el punto adecuado.
• También debe comprobarse si ya existe un concepto de seguridad informática en la empresa y si los procesos deben complementarlo para las obligaciones de respuesta y notificación. No sólo hay que tener en cuenta los incidentes internos, sino también los efectos de ataques cibernéticos.

Protección de datos: Requisitos de los derechos de los afectados según la norma ISO 27701

La protección de datos sirve sobre todo para proteger a los afectados. Además de los clientes, esto incluye a menudo a los proveedores, socios contractuales y empleados. La norma ISO 27701 estipula que toda empresa debe especificar exactamente quiénes son las partes interesadas (es decir, las partes que adquieren relevancia en el contexto de la protección de datos). Esto incluye a los afectados, las autoridades de control pertinentes, etc.

Hay que tener en cuenta lo siguiente:

• En la medida de lo posible, se debe nombrar a los afectados con la mayor precisión posible.
• También en este caso hay que determinar quién es el responsable de los derechos de los interesados (funcionario de PII).
• Por un lado, los responsables deben garantizar que los interesados sean informados adecuadamente sobre el tratamiento de sus datos y que cumplan con todos los requisitos legales.
• La empresa o el procesador (Procesador PII), por otro lado, está obligado a garantizar que se tengan en cuenta todas las obligaciones legales, reglamentarias y empresariales y que se comunique la información sobre ellas a las partes afectadas.
• Además, todo el tratamiento de datos personales debe estar documentado y los mecanismos previstos para que se puedan tramitar los cambios y las revocaciones del consentimiento para el tratamiento de datos.

En la norma ISO 27701 se explica y se detalla cómo alcanzar estos objetivos.

ISO 27701: Normas sobre el tratamiento de los registros 

Los registros de tratamiento se utilizan para determinar si se tratan datos personales y cuáles son, y para documentar estas operaciones con el fin de proteger los datos adecuadamente.

La normativa pretende que los responsables del tratamiento documenten y verifiquen que el tratamiento de los datos es legalmente legítimo y con fines claramente definidos. Se recomienda utilizar el procesamiento de registros de acuerdo con el Art. 30 del RGPD para este fin.

Además, los responsables del tratamiento deben definir las medidas que adoptarán para cumplir este objetivo y crear una lista que muestre qué datos se tratarán, cómo y con qué finalidad, y qué acciones los protegerán.

Evaluaciones de impacto de la protección de datos según la norma ISO 27701

Como en el RGPD, evaluaciones de impacto sobre la protección de datos también se mencionan en la norma ISO 27701. En este contexto, la ISO 27701 estipula que las empresas deben designar a alguien internamente responsable de las medidas de control y protección de datos. El RGPD los designa como "delegado de la privacidad de los datos" que puede encargarse de las actividades de supervisión y asesoramiento y proporcionar información sobre las evaluaciones de impacto de la protección de datos realizadas.

Hemos escrito otro artículo sobre las tareas de los delegados de la protección de datos.

Según la norma ISO 27701, la empresa debe comprobar qué operaciones de tratamiento requieren una evaluación de impacto de la protección de datos y llevarla a cabo. Este es el caso, en particular, de categorías específicas de datos personales, por ejemplo, si el tratamiento de datos personales implica un riesgo excepcionalmente alto para los interesados o porque se están tratando grandes volúmenes de datos o tratamiento sistemático se va a llevar a cabo.

En cuanto a las orientaciones sobre las evaluaciones de impacto sobre la privacidad, se hace referencia a ISO/IEC 29134.

¿Es la ISO 27701 el tan esperado certificado RGPD?

Las empresas siguen anhelando un certificado con el que puedan cumplir con seguridad todas las normas del RGPD. Los requisitos para dicha certificación se regulan explícitamente en el Art. 43 del RGPD.

Se requiere un acreditación de organismos de certificación en el sentido de la norma ISO 17065. Sin embargo, esto está dirigido a la certificación de productos y procesos. No obstante, la nueva ISO 27701 y también la norma básica ISO 27001 se centran en el sistema de gestión de la protección de datos y sus requisitos.

Lenguaje claro: La norma ISO 27701 no cumple las disposiciones del RGPD y, por tanto, no puede calificarse de certificación en el sentido del RGPD.

Esto se debe a la redacción del RGPD, ya que los sistemas de gestión también son básicamente procesos o funcionan de manera orientada a los procesos. Una certificación RGPD basada en la norma ISO 27701 es, por tanto, bastante concebible. También es posible que la certificación ISO 27701 pueda ser invocada como norma para probar que los procesos de datos personales cumplan con el RGPD.

Conclusión

Las empresas pueden utilizar la certificación ISO 27701 para demostrar a nivel internacional que cumplen una alta seguridad estándar. Esto refuerza la competitividad, simplifica negociaciones de contratos con los socios comerciales, y aumenta la confianza de los clientes potenciales.

En términos de contenido, la ISO 27701 es similar a los requisitos del RGPD si se examina con detenimiento. Por lo tanto, es fácil para la mayoría de las empresas integrarla en su sistema de SGSI, principalmente si este ya existe según la norma ISO 27001.

Lamentablemente, la certificación ISO 27701 no satisface directamente los requisitos del cumplimiento del RGPD, por lo que no proporciona automáticamente una certificación completa del RGPD. No obstante, el certificado puede utilizarse bien como prueba de que el tratamiento de datos cumple la legislación.