¿En qué consiste ISO / IEC 27701?
ISO / IEC 27701: 2019 es una extensión de privacidad de datos a la norma ISO/IEC 27001 de seguridad de la información (Norma para establecer un sistema de gestión de seguridad de la información SGSI) . Este nuevo estándar, publicado en agosto de 2019, proporciona orientación a las organizaciones que buscan establecer sistemas de gestión para soporte el cumplimiento de la normativa europea en materia de protección de datos (RGPD) y otros requisitos de privacidad de datos.
Por lo tanto, lo primero que debemos tener en cuenta es que las organizaciones que buscan obtener la certificación ISO/IEC 27701 en materia de protección de datos necesitarán disponer ya una certificación ISO/IEC 27001 o implementarlas juntas constituyendo un sistema de gestión de seguridad y privacidad.
Básicamente, ISO/IEC 27701 describe los requisitos para establecer un marco de gestión para los Responsables del tratamiento de datos personales y de los Encargados del tratamiento, especificando y proporcionando orientación para establecer, implementar, mantener y mejorar continuamente, un sistema de gestión de información de privacidad respaldado por el reconocimiento internacional de un estándar ISO.
¿Cómo se estructura?
A continuación, os hacemos un breve repaso de la estructura de la norma, la cual básicamente comprende lo siguiente:
- Requisitos del sistema de gestión, que es lo que se alinea con 27001.
- Guía de controles de seguridad que complementa la guía ISO 27002.
- Requisitos y directrices específicas de privacidad para Responsables del Tratamiento (Anexo A)
- Requisitos y directrices específicas de privacidad para Encargados del Tratamiento (Anexo B)
¿Cuáles son las ventajas de implementar ISO/IEC 27701?
Una de las principales ventajas es demostrar a los clientes, partner, o terceras partes interesadas, que existe un sistema de gestión para respaldar el cumplimiento de GDPR y otras leyes de privacidad relacionadas. Como se sabe, a día de hoy no existía una certificación como tal que verificara el cumplimiento en materia de protección, en parte debido a los principios establecidos por la normativa europea, asimismo ninguna de las regulaciones vigentes en materia de protección de datos proporciona mucha orientación sobre cómo deberían ser esas medidas de cumplimiento y/o cómo materializar determinados principios de la norma. Por lo que esta extensión, viene a proporcionar esa orientación a la vez que certifica la implementación de las normas bajo un estándar internacional desarrolla por ISO (la Organización Internacional de Normalización) y la IEC (Comisión Electrotécnica Internacional).
Otra de las principales ventajas es conseguir el objetivo marcado por los principios del RGPD, principalmente el principio de responsabilidad proactiva, logrando controlar y reducir el riesgo respecto a los derechos de los interesados en materia de privacidad.
Finalmente, para la organización constituye una mejora del Sistema de Gestión de Seguridad de la Información existente, con todas las ventajas que ello conlleva, además de una gran ventaja competitiva.
¿Cómo se integran ambos estándares?
Las organizaciones que buscan obtener la certificación ISO/IEC 27701 para cumplir con RGPD necesitarán tener una certificación ISO/IEC 27001 existente o implementar ambos estándares conjuntamente, constituyendo un sistema de gestión integrado de seguridad de la información y privacidad. Por lo que, la auditoría de certificación puede ser integrada (ambos estándares) o especial (incorporación de ISO/IEC 27701 a la certificación existente).
Obtener la certificación con Áudea
Muchos de nuestros clientes tanto en España como fuera de ella, están implementando ISO/IEC 27001 junto con esta extensión, lo que demuestra que este nuevo estándar junto a su certificación es una iniciativa fundamental para proteger los activos más valiosos de las organizaciones, además de garantizar el cumplimiento y demostrar ante terceras partes el compromiso y responsabilidad.
Desde Áudea te animamos a analizar tu organización y las posibilidades de implementar estos estándares, sin compromiso. Además, se ha de tener en cuenta que, si ya has implementado GDPR y otras normas de privacidad, supone una ventaja de cara a la implementación de ISO 27701 dado que el trabajo se verá reducido en gran parte, puesto que ya contaremos con muchos de los requisitos necesarios para el cumplimiento y certificación de este estándar.
En el siguiente artículo os hablaremos de cómo simplificar la gestión de los SGSI a través de herramientas como risk4all.
Irene Martínez
Departamento Privacidad