Protección de datos y certificación ISO 27701
Desde que el RGPD entró en vigor en 2018, muchas cosas han cambiado en el ámbito de la protección de datos. Se aplican requisitos adicionales para las empresas. El incumplimiento puede dar lugar a sanciones millonarias relacionadas con las ventas. Por lo tanto, más recientemente, la necesidad de introducir una certificación de protección de datos separada se hizo muy alta en los círculos de expertos.
La certificación ISO puede ayudar a garantizar que las empresas cumplen la normativa pertinente sobre protección de datos. Ahora, se supone que las empresas deben estar certificadas según la norma ISO 27701 en materia de protección de datos y poder demostrar así el máximo nivel de seguridad de los datos.
Pero, ¿se ha conseguido esto? ¿Qué dice la ISO sobre la protección de datos? ¿Y cómo funciona exactamente la certificación ISO 27701? - En este artículo respondemos a estas y otras preguntas.
Los hechos más importantes en resumen
- La certificación ISO está pensada para ser utilizada como prueba para demostrar que los datos personales se procesan de conformidad con el RGPD.
- La norma ISO 27701 es un complemento de las normas ISO 27001 y 27002, sobre todo en lo que respecta a los sistemas de gestión y tratamiento de datos.
- La certificación es especialmente útil si ya existe un sistema SGSI y sólo es necesario completarlo.
- La ventaja más importante de una certificación de este tipo es que permite a las empresas no sólo cumplir los requisitos de la legislación de la UE, sino también presentar una certificación reconocida internacionalmente.
¿Por qué una certificación de protección de datos?
El tema de la protección de datos ha adquirido un protagonismo mucho mayor que nunca. Por ello, desde muchos lados se ha expresado el deseo de contar con una certificación especial de protección de datos.
Esta certificación debería tener en cuenta la normativa del RGPD y facilitar a las empresas la integración de una gestión de la protección de datos conforme a la ley en sus procesos empresariales. La ISO 27701 pretende cumplir este deseo como certificación correspondiente.
Conviene saberlo: Esta certificación también está prevista explícitamente en el artículo 42 del RGPD.
¿Cuál es la diferencia entre ISO y SGSI?
La certificación ISO es una norma destinada a demostrar que, entre otras cosas, se cumple la normativa en materia de protección de datos. Así, la ISO 27701 complementa un sistema de gestión de la seguridad de la información (SGSI).
Muchas empresas que ya utilizan un SGSI sólo tienen que integrar los requisitos de la ISO en su sistema actual y ampliar los procesos. Por ejemplo, la obligación de notificar incidentes de seguridad y protección de datos definida por el RGPD puede integrarse en los procesos ISO y gestionarse automáticamente. Un sistema ISO bien concebido también permite mantener los registros de tratamiento de forma más eficiente.
¿Qué es la ISO?
ISO es la abreviatura de Organización Internacional de Normalización, que se ha impuesto la tarea de establecer normas uniformes para productos y servicios en todo el mundo.
Es, por tanto, la equivalente internacional de la Fundación Alemana para la Normalización (DIN), que también representa a Alemania en la ISO. Desde su fundación en 1947, la organización suiza ya ha publicado 24.000 normas en todos los ámbitos de la vida.
Para las empresas afectadas por la protección de datos, las normas ISO de la serie 2700 son especialmente relevantes. Las normas 27xxx se refieren a la seguridad de la información y la protección de datos. La norma principal y la base es siempre la ISO 27001. Además, hay otra serie de normas ISO que complementan o concretan la ISO 27001 y proporcionan información en profundidad específica de cada sector.
Los llamados sistemas de gestión son esenciales para las normas ISO. Éstos se describen en el capítulo 3.2.5 de la norma DIN EN ISO EC 27000 de la siguiente manera:
"Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de una organización. El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación, responsabilidades, métodos, procedimientos, procesos y recursos.
En lo que respecta a la seguridad de la información, un sistema de gestión permite a una organización
a) cumplir los requisitos de seguridad de los clientes y otras partes afectadas;
b) mejorar su planificación y sus operaciones
c) alcanzar sus objetivos de seguridad de la información
d) cumplir los reglamentos, leyes y normas del sector; y
e) gestionar los activos de información de una manera organizada que promueva la mejora continua y la alineación con los objetivos actuales de la organización."
Importante: Un sistema de gestión debe pensarse a largo plazo y establecerse en la empresa. Requiere una mejora, un desarrollo y un control continuos para que el sistema funcione en el sentido de la certificación ISO.
¿Cuál es la diferencia entre ISO y RGPD?
El RGPD es un reglamento de la Unión Europea (UE) que obliga a todas las empresas y autoridades de los estados miembros a cumplir los requisitos de la ley de protección de datos. Se trata, por tanto, de una normalización jurídica no dispositiva, sino obligatoria .
La norma internacional ISO, en cambio, es un conjunto de normas voluntarias para las empresas. Son directrices cuyo cumplimiento puede certificarse, pero las empresas no están obligadas por el Estado a cumplirlas. La situación es distinta si una empresa se compromete contractualmente a cumplirlas, por ejemplo con otro socio contractual o en caso de certificación.
En lenguaje claro: las normas ISO sólo pasan a ser jurídicamente vinculantes si las leyes u ordenanzas las citan o hacen referencia a ellas y se convierten así en el contenido de la ley.
Pero las normas ISO se utilizan a menudo como los llamados "dictámenes periciales anticipados" en los procedimientos judiciales. Esto significa que si una empresa las utiliza y las cumple, ello habla en su favor.
¿Qué es la certificación ISO 27701?
ISO 27701 es un certificado para la gestión de la protección de datos. Amplía la norma reconocida internacionalmente en materia de protección de datos y seguridad de la información. Su objetivo es garantizar un tratamiento de los datos personales conforme al RGPD. Por tanto, aquí también se hace hincapié en los requisitos sistemáticos para los sistemas de gestión de la protección de datos que tienen como objeto la seguridad de la información.
La certificación con la norma ISO 27701 exige que se cumplan los requisitos de la norma 27001 (sistema de gestión de la seguridad de la información). Además de la ISO 27001, la nueva norma ISO también incluye ampliaciones de la ISO 27002, que contiene orientaciones sobre la aplicación de la primera.
La ISO 27701 incluye orientaciones sobre lo siguiente:
- Mejoras en la protección de datos
- Nombramiento y designación de responsables del "Sistema de Gestión de la Información sobre Privacidad" (PIMS)
- Formación de los empleados en materia de protección de datos
- Registro de los accesos y cambios en los datos o de las personas autorizadas a acceder a ellos
- Cifrado de datos personales especialmente sensibles
- Incorporación del principio de "privacidad desde el diseño"
- Revisión de los incidentes relacionados con la protección de datos
En cuanto a su contenido, la norma ISO 27701 establece así el vínculo entre las medidas de protección de datos y la seguridad de la información, fijando normas para el establecimiento, aplicación y mejora de la gestión de la información sobre protección de datos. A continuación, estos sistemas son verificados y certificados en Alemania por organismos de certificación acreditados por el DakkS (Organismo Alemán de Acreditación).
¿Cuáles son las ventajas de la certificación según la norma ISO 27701?
Para cumplir todos los requisitos legales y operativos en materia de protección de datos, hoy en día es esencial que las empresas establezcan y apliquen un sólido sistema de gestión de la protección de datos.
Como parte de las normas SGSI, la certificación ISO 27701 contribuye significativamente a un alto nivel demostrado de seguridad de la información. Para las empresas, esto ofrece la ventaja de poder integrar en sus operaciones un sistema de gestión de la seguridad de la información y la protección de datos completo y seguro.
Los siguientes aspectos de una certificación ISO 27701 son especialmente destacables:
- El cumplimiento de la norma ISO como estándar internacional refuerza la confianza en la protección de datos de la empresa. Está reconocida internacionalmente como prueba del cumplimiento de la normativa de protección de datos, no sólo en la Unión Europea (UE).
- Una vez certificada, ayuda a las empresas a cumplir el RGPD a largo plazo.
- La certificación ISO 27701 también puede facilitar la demostración del tratamiento de datos conforme con el RGPD. Esto simplifica las negociaciones contractuales, ya que no son necesarias normativas individuales.
- La certificación aclara las responsabilidades. Proporciona criterios y normativas transparentes para todas las partes implicadas.
- Crea un vínculo entre el SGSI y los sistemas de gestión de datos personales.
Protección de datos según ISO 27701
La ISO 27701 tiene la misma estructura que la norma ISO 27001 y la amplía en el sentido de que se implanta un sistema de gestión de datos personales. La norma concreta las directrices con aspectos de protección de datos y, por tanto, representa una ampliación del SGSI existente en el ámbito de la gestión de la protección de datos.
A diferencia de otras normas ISO, la ISO 27701 no se centra en la seguridad de la información, sino en la protección de los datos personales y de las personas afectadas. Por tanto, el SGSI existente debe ampliarse y complementarse para incluir la protección de los grupos de personas afectados.
Por un lado, la protección de datos y la seguridad de la información están entrelazadas, pero, por otro, también debe haber espacio para medidas que sirvan exclusivamente a la protección de datos.
A continuación se resumen las adiciones más importantes de la norma ISO 27701.
Gestión de incidentes de protección de datos según la norma ISO 27701
La norma ISO 27701 amplía las especificaciones para la gestión de incidentes relacionados con la protección de datos, que anteriormente estaban reguladas en las normas ISO 27001 e ISO 27002.
- En primer lugar, la norma ISO 27701 exige que las empresas designen responsables claros para la identificación y documentación de los incidentes de protección de datos.
- Asimismo, se definen las responsabilidades y los procedimientos relativos a la notificación a los afectados y a las autoridades competentes, teniendo en cuenta la normativa legal.
- Al mismo tiempo, es necesario revisar todos los procesos internos y los incidentes de seguridad para detectar posibles violaciones de la protección de datos y desarrollar un plan de respuesta que se active inmediatamente si se produce una violación de este tipo.
- A continuación, estos planes y sistemas también deben incluirse en todos los contratos con los clientes (es decir, las partes potencialmente afectadas) y todos los demás socios contractuales, de modo que todas las acciones de la empresa se adhieran a estos planes y sean supervisadas.
- Las empresas deben integrar de forma natural estas normativas de la ISO 27701 en el SGSI existente. Esto se consigue mejor si primero se examinan detenidamente las normativas sobre profilaxis de emergencias y gestión de emergencias y, si es necesario, se complementan en el punto adecuado.
- También debe comprobarse si ya existe un concepto de seguridad informática en la empresa y si debe complementarse con procesos de respuesta y obligaciones de notificación. No sólo deben tenerse en cuenta los incidentes internos, sino también los efectos de los ciberataques.
Protección de datos: Requisitos sobre los derechos de los afectados según la norma ISO 27701
La protección de datos sirve en particular para proteger a las personas afectadas. Además de los clientes, a menudo se trata de proveedores, socios contractuales y empleados. La norma ISO 27701 estipula que toda empresa debe especificar exactamente quiénes son las partes afectadas (es decir, las partes que adquieren relevancia en el contexto de la protección de datos). Entre ellas figuran no sólo los afectados, sino también las autoridades de control competentes, etc.
Debe tenerse en cuenta lo siguiente:
- Si es posible, los afectados deben ser nombrados con la mayor precisión posible.
- También en este caso debe determinarse quién es el responsable de los derechos de los afectados (delegado de la protección de datos).
- Por un lado, los responsables del tratamiento deben garantizar que se informa adecuadamente a los afectados sobre el tratamiento de sus datos y que se cumplen todos los requisitos legales al respecto.
- Por otro lado, la empresa o el encargado del tratamiento (encargado de PII) está obligado a garantizar que se tienen en cuenta todas las obligaciones legales, reglamentarias y empresariales y que se facilita información sobre ellas a los afectados.
- Además, todo tratamiento de datos personales debe documentarse y deben preverse mecanismos para que puedan tramitarse los cambios y revocaciones del consentimiento al tratamiento de datos.
En la propia norma ISO 27701 se explica y detalla cómo deben o pueden alcanzarse estos objetivos.
ISO 27701: Normas sobre registros de tratamiento
Los registros de tratamiento sirven para determinar si se procesan datos personales y cuáles son, así como para documentar estos procesos con el fin de poder proteger adecuadamente los datos.
El objetivo de la normativa es que los responsables del tratamiento documenten y verifiquen que el tratamiento de datos es legalmente legítimo y con fines claramente definidos. Para ello, se recomienda utilizar los registros de tratamiento previstos en el artículo 30 del RGPD.
Además, los responsables del tratamiento de datos deben definir las medidas que adoptan para cumplir este objetivo y crear una lista que muestre qué datos se tratan, cómo y con qué fin, y qué medidas están destinadas a proteger estos datos.
Evaluaciones de impacto de la protección de datos según la norma ISO 27701
Al igual que en el RGPD, las evaluaciones de impacto sobre la protección de datos también se mencionan en la norma ISO 27701. La norma ISO 27701 estipula que las empresas deben designar a una persona internamente responsable de las medidas de control y protección de datos. El RGPD designa a estas personas como "delegado de la protección de datos", que pueden asumir actividades de control y asesoramiento y facilitar información sobre las evaluaciones de impacto de la protección de datos que se hayan llevado a cabo.
Hemos escrito un artículo aparte sobre el alcance de las obligaciones de los delegados de protección de datos.
Según la norma ISO 27701, la empresa está obligada a comprobar qué operaciones de tratamiento requieren una evaluación de impacto sobre la protección de datos y a llevarla a cabo. Este es el caso, en particular, de determinadas categorías de datos personales, por ejemplo, si el tratamiento de datos personales entraña un riesgo especialmente elevado para los afectados, o porque se tratan grandes cantidades de datos o se va a realizar un tratamiento sistemático.
La norma ISO/IEC 29134 ofrece orientaciones sobre las evaluaciones de impacto de la protección de datos.
¿Es ISO 27701 el tan esperado certificado RGPD?
Las empresas siguen anhelando un certificado con el que puedan cumplir con seguridad todas las normativas del RGPD. Los requisitos para dicha certificación se regulan explícitamente en el art. 43 del RGPD.
Se exige la acreditación por organismos de certificación en el sentido de la norma ISO 17065. Sin embargo, esta se dirige a la certificación de productos y procesos. La nueva ISO 27701 y también la norma básica ISO 27001, sin embargo, se centran en el sistema de gestión de datos peronales y sus requisitos.
En sentido estricto, la norma ISO 27701 no cumple las disposiciones del RGPD y, por tanto, no puede calificarse de certificación en el sentido del RGPD.
Esto se debe a la redacción del RGPD, ya que los sistemas de gestión son básicamente procesos o funcionan de una manera orientada a los procesos. Una certificación RGPD basada en ISO 27701 es, por tanto, bastante concebible. También es concebible que la certificación ISO 27701 pueda invocarse como norma para demostrar que los datos personales se procesan de conformidad con el RGPD.
Conclusión
Con la ayuda de la certificación ISO 27701, las empresas pueden demostrar a nivel internacional que cumplen una norma de seguridad elevada. Esto no solo refuerza la competitividad de la empresa y simplifica las negociaciones contractuales con los socios comerciales, sino que también aumenta la confianza de los clientes potenciales.
En términos de contenido, la norma ISO 27701 es similar a los requisitos del RGPD en una inspección más cercana y, por lo tanto, es fácil para la mayoría de las empresas integrarla en su sistema SGSI, especialmente si este ya existe de acuerdo con las normas de la norma ISO 27001.
Lamentablemente, la certificación ISO 27701 no satisface directamente los requisitos de cumplimiento del RGPD, por lo que no se puede obtener automáticamente una certificación completa del RGPD. No obstante, el certificado puede utilizarse como prueba de un tratamiento de datos legalmente conforme.