Guía rápida para ISO 27701
¿Qué es la ISO 27701?
La ISO/IEC 27701:2019 es una extensión de la ISO 27001 sobre la privacidad de la información. Esta norma de seguridad de la información de reciente publicación proporciona orientación a las organizaciones que deseen establecer sistemas para apoyar el cumplimiento del RGPD y otros requisitos de privacidad de datos.
-
Es un método para ayudar a las organizaciones a demostrar el cumplimiento del RGPD y otras regulaciones globales de privacidad.
-
Es un complemento de la ISO 27001 para el manejo de la privacidad y sus riesgos. Por lo tanto, debe disponer de un certificado ISO 27001 o realizar una auditoría integrada con ambos sistemas.
-
Añade un conjunto de requisitos y controles de privacidad a la ISO 27001.
-
Detalla los requisitos y proporciona orientación para la aplicación y el mantenimiento de un sistema de gestión de privacidad de la información.
-
Tiene controles adicionales en el Anexo A para los controladores de información personal y para los procesadores de información personal.
¿Para quién está diseñada la ISO 27701?
Los clientes que procesen información personal y necesitan demostrar que están cumpliendo con el RGPD o quieren una garantía interna de cumplimiento con el RGPD. Se incluyen datos de contacto de negocios, datos de empleados, datos de mercado, datos de clientes, es decir, cualquier información personal relevante.
¿Cuáles son los beneficios de la ISO 27701?
-
Proporciona un marco completo de gestión de la privacidad.
-
Aporta claridad sobre las actividades de cumplimiento del RGPD.
-
Fue desarrollada por varios reguladores de protección de datos de todo el mundo, con la aportación de la Junta Europea de Protección de Datos.
-
La autoridad francesa de protección de datos afirmó que: "Representa el estado del arte en términos de protección de la privacidad".
-
Puede aplicarse selectivamente para demostrar el cumplimiento, por ejemplo, sólo al procesador de la información.
-
Es un estándar reconocido mundialmente por la IAF. Es el ÚNICO estándar que tiene esta aplicabilidad global a la regulación de la privacidad.
-
Ayuda a reducir el riesgo de una violación de la privacidad y las posibles multas de la ICO.
¿Qué más necesita saber sobre la ISO 27701?
-
El cliente debe tener un certificado ISO 27001 o realizar una certificación inicial ISO 27001 e ISO 27701, puede solicitarnos presupuesto online.
-
PII = Información Personal Identificable / Datos Personales = datos que se relacionan con alguien.
-
El BS10012 sólo se corresponde con el RGPD y no es un estándar ISO. Recomendamos tomar la ruta de la ISO 27701 ya que es aplicable y reconocida a nivel mundial.
-
Controlador es un término del RGPD para el propietario de la información personal, por ejemplo, el cliente es dueño de los datos de sus empleados.
-
Procesador es alguien que actúa siguiendo las instrucciones de un Controlador, por ejemplo, un proveedor de servicios de RR.HH. subcontratado.
-
NQA prevé que en 2022 habrá mayor demanda de cumplimiento del RGPD por parte de organizaciones, así como de otras regulaciones mundiales de privacidad.
- El representante ideal del cliente es un Oficial de Protección de Datos o un Jefe de Seguridad.
¿Cuál es el próximo paso?
Podemos evaluar su conformidad con la ISO 27701 como adición a la evaluación de la ISO 27001. Nos aseguraremos de que nuestro enfoque siga el mismo método que la norma con un enfoque integrado a las dos normas.
-
Si ya tiene la certificación ISO 27001 con NQA, llevaremos a cabo una auditoría de extensión de alcance para añadir la ISO 27701 a su certificación.
-
Si tiene la ISO 27001 con un organismo de certificación alternativo tendremos que transferir este certificado a NQA. No se preocupe es un proceso muy simple, se lo explicamos aquí.
-
Si no tiene la certificación ISO 27001, le auditaremos tanto en ISO 27001 como en ISO durante una auditoría inicial.