Desde que el RGPD entró en vigor en 2018, muchas cosas han cambiado en el ámbito de la protección de datos. Se aplican requisitos adicionales para las empresas. El incumplimiento puede dar lugar a sanciones millonarias relacionadas con las ventas. Por lo tanto, más recientemente, la necesidad de introducir una certificación de protección de datos separada se hizo muy alta en los círculos de expertos.
La certificación ISO puede ayudar a garantizar que las empresas cumplen la normativa pertinente sobre protección de datos. Ahora, se supone que las empresas deben estar certificadas según la norma ISO 27701 en materia de protección de datos y poder demostrar así el máximo nivel de seguridad de los datos.
Pero, ¿se ha conseguido esto? ¿Qué dice la ISO sobre la protección de datos? ¿Y cómo funciona exactamente la certificación ISO 27701? - En este artículo respondemos a estas y otras preguntas.
El tema de la protección de datos ha adquirido un protagonismo mucho mayor que nunca. Por ello, desde muchos lados se ha expresado el deseo de contar con una certificación especial de protección de datos.
Esta certificación debería tener en cuenta la normativa del RGPD y facilitar a las empresas la integración de una gestión de la protección de datos conforme a la ley en sus procesos empresariales. La ISO 27701 pretende cumplir este deseo como certificación correspondiente.
Conviene saberlo: Esta certificación también está prevista explícitamente en el artículo 42 del RGPD.
La certificación ISO es una norma destinada a demostrar que, entre otras cosas, se cumple la normativa en materia de protección de datos. Así, la ISO 27701 complementa un sistema de gestión de la seguridad de la información (SGSI).
Muchas empresas que ya utilizan un SGSI sólo tienen que integrar los requisitos de la ISO en su sistema actual y ampliar los procesos. Por ejemplo, la obligación de notificar incidentes de seguridad y protección de datos definida por el RGPD puede integrarse en los procesos ISO y gestionarse automáticamente. Un sistema ISO bien concebido también permite mantener los registros de tratamiento de forma más eficiente.
ISO es la abreviatura de Organización Internacional de Normalización, que se ha impuesto la tarea de establecer normas uniformes para productos y servicios en todo el mundo.
Es, por tanto, la equivalente internacional de la Fundación Alemana para la Normalización (DIN), que también representa a Alemania en la ISO. Desde su fundación en 1947, la organización suiza ya ha publicado 24.000 normas en todos los ámbitos de la vida.
Para las empresas afectadas por la protección de datos, las normas ISO de la serie 2700 son especialmente relevantes. Las normas 27xxx se refieren a la seguridad de la información y la protección de datos. La norma principal y la base es siempre la ISO 27001. Además, hay otra serie de normas ISO que complementan o concretan la ISO 27001 y proporcionan información en profundidad específica de cada sector.
Los llamados sistemas de gestión son esenciales para las normas ISO. Éstos se describen en el capítulo 3.2.5 de la norma DIN EN ISO EC 27000 de la siguiente manera:
"Un sistema de gestión utiliza un marco de recursos para alcanzar los objetivos de una organización. El sistema de gestión incluye estructuras organizativas, políticas, actividades de planificación, responsabilidades, métodos, procedimientos, procesos y recursos.
En lo que respecta a la seguridad de la información, un sistema de gestión permite a una organización
a) cumplir los requisitos de seguridad de los clientes y otras partes afectadas;
b) mejorar su planificación y sus operaciones
c) alcanzar sus objetivos de seguridad de la información
d) cumplir los reglamentos, leyes y normas del sector; y
e) gestionar los activos de información de una manera organizada que promueva la mejora continua y la alineación con los objetivos actuales de la organización."
Importante: Un sistema de gestión debe pensarse a largo plazo y establecerse en la empresa. Requiere una mejora, un desarrollo y un control continuos para que el sistema funcione en el sentido de la certificación ISO.
El RGPD es un reglamento de la Unión Europea (UE) que obliga a todas las empresas y autoridades de los estados miembros a cumplir los requisitos de la ley de protección de datos. Se trata, por tanto, de una normalización jurídica no dispositiva, sino obligatoria .
La norma internacional ISO, en cambio, es un conjunto de normas voluntarias para las empresas. Son directrices cuyo cumplimiento puede certificarse, pero las empresas no están obligadas por el Estado a cumplirlas. La situación es distinta si una empresa se compromete contractualmente a cumplirlas, por ejemplo con otro socio contractual o en caso de certificación.
En lenguaje claro: las normas ISO sólo pasan a ser jurídicamente vinculantes si las leyes u ordenanzas las citan o hacen referencia a ellas y se convierten así en el contenido de la ley.
Pero las normas ISO se utilizan a menudo como los llamados "dictámenes periciales anticipados" en los procedimientos judiciales. Esto significa que si una empresa las utiliza y las cumple, ello habla en su favor.
ISO 27701 es un certificado para la gestión de la protección de datos. Amplía la norma reconocida internacionalmente en materia de protección de datos y seguridad de la información. Su objetivo es garantizar un tratamiento de los datos personales conforme al RGPD. Por tanto, aquí también se hace hincapié en los requisitos sistemáticos para los sistemas de gestión de la protección de datos que tienen como objeto la seguridad de la información.
La certificación con la norma ISO 27701 exige que se cumplan los requisitos de la norma 27001 (sistema de gestión de la seguridad de la información). Además de la ISO 27001, la nueva norma ISO también incluye ampliaciones de la ISO 27002, que contiene orientaciones sobre la aplicación de la primera.
La ISO 27701 incluye orientaciones sobre lo siguiente:
En cuanto a su contenido, la norma ISO 27701 establece así el vínculo entre las medidas de protección de datos y la seguridad de la información, fijando normas para el establecimiento, aplicación y mejora de la gestión de la información sobre protección de datos. A continuación, estos sistemas son verificados y certificados en Alemania por organismos de certificación acreditados por el DakkS (Organismo Alemán de Acreditación).
Para cumplir todos los requisitos legales y operativos en materia de protección de datos, hoy en día es esencial que las empresas establezcan y apliquen un sólido sistema de gestión de la protección de datos.
Como parte de las normas SGSI, la certificación ISO 27701 contribuye significativamente a un alto nivel demostrado de seguridad de la información. Para las empresas, esto ofrece la ventaja de poder integrar en sus operaciones un sistema de gestión de la seguridad de la información y la protección de datos completo y seguro.
Los siguientes aspectos de una certificación ISO 27701 son especialmente destacables:
La ISO 27701 tiene la misma estructura que la norma ISO 27001 y la amplía en el sentido de que se implanta un sistema de gestión de datos personales. La norma concreta las directrices con aspectos de protección de datos y, por tanto, representa una ampliación del SGSI existente en el ámbito de la gestión de la protección de datos.
A diferencia de otras normas ISO, la ISO 27701 no se centra en la seguridad de la información, sino en la protección de los datos personales y de las personas afectadas. Por tanto, el SGSI existente debe ampliarse y complementarse para incluir la protección de los grupos de personas afectados.
Por un lado, la protección de datos y la seguridad de la información están entrelazadas, pero, por otro, también debe haber espacio para medidas que sirvan exclusivamente a la protección de datos.
A continuación se resumen las adiciones más importantes de la norma ISO 27701.
La norma ISO 27701 amplía las especificaciones para la gestión de incidentes relacionados con la protección de datos, que anteriormente estaban reguladas en las normas ISO 27001 e ISO 27002.
La protección de datos sirve en particular para proteger a las personas afectadas. Además de los clientes, a menudo se trata de proveedores, socios contractuales y empleados. La norma ISO 27701 estipula que toda empresa debe especificar exactamente quiénes son las partes afectadas (es decir, las partes que adquieren relevancia en el contexto de la protección de datos). Entre ellas figuran no sólo los afectados, sino también las autoridades de control competentes, etc.
Debe tenerse en cuenta lo siguiente:
En la propia norma ISO 27701 se explica y detalla cómo deben o pueden alcanzarse estos objetivos.
Los registros de tratamiento sirven para determinar si se procesan datos personales y cuáles son, así como para documentar estos procesos con el fin de poder proteger adecuadamente los datos.
El objetivo de la normativa es que los responsables del tratamiento documenten y verifiquen que el tratamiento de datos es legalmente legítimo y con fines claramente definidos. Para ello, se recomienda utilizar los registros de tratamiento previstos en el artículo 30 del RGPD.
Además, los responsables del tratamiento de datos deben definir las medidas que adoptan para cumplir este objetivo y crear una lista que muestre qué datos se tratan, cómo y con qué fin, y qué medidas están destinadas a proteger estos datos.
Al igual que en el RGPD, las evaluaciones de impacto sobre la protección de datos también se mencionan en la norma ISO 27701. La norma ISO 27701 estipula que las empresas deben designar a una persona internamente responsable de las medidas de control y protección de datos. El RGPD designa a estas personas como "delegado de la protección de datos", que pueden asumir actividades de control y asesoramiento y facilitar información sobre las evaluaciones de impacto de la protección de datos que se hayan llevado a cabo.
Hemos escrito un artículo aparte sobre el alcance de las obligaciones de los delegados de protección de datos.
Según la norma ISO 27701, la empresa está obligada a comprobar qué operaciones de tratamiento requieren una evaluación de impacto sobre la protección de datos y a llevarla a cabo. Este es el caso, en particular, de determinadas categorías de datos personales, por ejemplo, si el tratamiento de datos personales entraña un riesgo especialmente elevado para los afectados, o porque se tratan grandes cantidades de datos o se va a realizar un tratamiento sistemático.
La norma ISO/IEC 29134 ofrece orientaciones sobre las evaluaciones de impacto de la protección de datos.
Las empresas siguen anhelando un certificado con el que puedan cumplir con seguridad todas las normativas del RGPD. Los requisitos para dicha certificación se regulan explícitamente en el art. 43 del RGPD.
Se exige la acreditación por organismos de certificación en el sentido de la norma ISO 17065. Sin embargo, esta se dirige a la certificación de productos y procesos. La nueva ISO 27701 y también la norma básica ISO 27001, sin embargo, se centran en el sistema de gestión de datos peronales y sus requisitos.
En sentido estricto, la norma ISO 27701 no cumple las disposiciones del RGPD y, por tanto, no puede calificarse de certificación en el sentido del RGPD.
Esto se debe a la redacción del RGPD, ya que los sistemas de gestión son básicamente procesos o funcionan de una manera orientada a los procesos. Una certificación RGPD basada en ISO 27701 es, por tanto, bastante concebible. También es concebible que la certificación ISO 27701 pueda invocarse como norma para demostrar que los datos personales se procesan de conformidad con el RGPD.
Con la ayuda de la certificación ISO 27701, las empresas pueden demostrar a nivel internacional que cumplen una norma de seguridad elevada. Esto no solo refuerza la competitividad de la empresa y simplifica las negociaciones contractuales con los socios comerciales, sino que también aumenta la confianza de los clientes potenciales.
En términos de contenido, la norma ISO 27701 es similar a los requisitos del RGPD en una inspección más cercana y, por lo tanto, es fácil para la mayoría de las empresas integrarla en su sistema SGSI, especialmente si este ya existe de acuerdo con las normas de la norma ISO 27001.
Lamentablemente, la certificación ISO 27701 no satisface directamente los requisitos de cumplimiento del RGPD, por lo que no se puede obtener automáticamente una certificación completa del RGPD. No obstante, el certificado puede utilizarse como prueba de un tratamiento de datos legalmente conforme.