La norma ISO/IEC 27552:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines, se presenta para cubrir una necesidad creciente de certificar el modelo de gestión sobre la privacidad que una organización aplica. Si bien, existen desde hace años diversas normas en el ámbito de la privacidad, como ISO/IEC 29100, 29190, 27018, 29134, 29151, etc. todas constituyen guías o recomendaciones para gestionar diversos procesos de privacidad.
Y ahí reside la diferencia de la norma ISO/IEC 27552, ya que amplía los requisitos de la norma ISO/IEC 27001 para tener en cuenta la protección de la privacidad de los individuos como potencialmente afectados por el procesamiento de sus datos personales, además de la seguridad de la información.
En la práctica, donde aparece “seguridad de la información” en ISO/IEC 27001 o ISO/IEC 27002, debe sustituirse por “seguridad de la información y privacidad”
¿Para qué sirve realmente este estándar?
Podemos decir que establece requisitos para poder certificar un sistema de gestión de privacidad, lo que implica que nuestra organización tiene en cuenta cualquier requisito de privacidad, bien regulatorio, legal, contractual, u otros, tanto de índole local, nacional o internacional, según donde opera.
La certificación tendrá que ir junto al sistema de gestión de seguridad de la información SGSI, bajo ISO/IEC 27001, con la que comparte completamente el esquema.
¿Quién puede usarla?
El sistema de gestión se puede certificar tanto para el responsable de los tratamientos, como para el responsable del procesamiento, o en ambos casos.
¿Qué estructura tiene?
La primera parte de la norma incluye la extensión de requisitos del SGSI para un SGIP (Sistema de Gestión de Información Personal), tal y como se resume en la siguiente tabla. Sólo algunas cláusulas han sido extendidas, principalmente la 4 y 6, dejando el resto inalteradas.
Clausula ISO/IEC 27001 | Titulo | Clausula ISO/IEC 27552 | Cambios |
4 | Contexto de la organización | 5.2 | Requisitos adicionales |
5 | Liderazgo | 5.3 | Sin requisitos adicionales |
6 | Planificación | 5.4 | Requisitos adicionales |
7 | Soporte | 5.5 | Sin requisitos adicionales |
8 | Operación | 5.6 | Sin requisitos adicionales |
9 | Evaluación del funcionamiento | 5.7 | Sin requisitos adicionales |
10 | Mejora | 5.8 | Sin requisitos adicionales |
Adicionalmente, se incluyen los Anexos A y B que incluyen los objetivos de control y controles de privacidad para responsables y procesadores, referencia obligatoria durante el proceso de tratamiento del riesgo, junto al Anexo A. de ISO/IEC 27001 que incluye los controles para seguridad de la información. Aquellos conocedores al articulado RGPD encontrarán muchas similitudes con éste.
La segunda parte de la norma incluye:
- La guía extendida de implementación de los 114 controles de ISO/IEC 27002, con un enfoque de privacidad (clausula 6), donde todos los dominios han sido ampliados con la excepción del dominio 17 de continuidad de negocio. Por ejemplo el control 11.2.9 ha sido extendido incluyendo la necesidad limitar la copia de material físico que incluya información personal a los estrictamente necesario para llevar a cabo el tratamiento.
- La guía adicional de controles de privacidad para responsables de tratamiento (clausula 7), con 4 objetivos de control y 31 controles
- La guía adicional de controles de privacidad para procesadores (clausula 8), con 4 objetivos de control y 18 controles
- Varios anexos con los mapeos entre esta norma y
otras normas de privacidad, tales como:
- El marco de privacidad y principios definido en ISO/IEC 29100;
- ISO/IEC 27018;
- ISO/IEC 29151, and
- RGPD
En definitiva, en espera de que las entidades de certificación acreditadas para ISO/IEC 27001 empiecen a pronunciarse, parece que esta norma puede ayudar a las organizaciones en sus relaciones comerciales, como una garantía extendida en el tratamiento de datos personales, cuestión que desde la entrada en vigor del RGDP, es especialmente relevante.
Antonio Martinez
Áudea Seguridad