RGPD e ISO 27001
El artículo 42 del RGPD detalla el cumplimiento del reglamento a través de "procesos de certificación de protección de datos". Los sistemas de gestión de la seguridad de la información que cumplen con la ISO 27001 están enfocados al riesgo y abordan las amenazas de seguridad específicas que hace frente una empresa, teniendo en cuenta: personas, procesos y tecnología.
Principales cambios y estructura de la ISO 27001
¿Cuáles son los principales cambios? A continuación se detallan los cambios más relevantes y como se relacionan estos con la ISO 27001:
-
La identificación de las personas abarca factores, como su identidad genética, mental, económica, cultural o social. Las empresas deberán tomar medidas para reducir la cantidad de información identificable que almacenan. Se requerirá el consentimiento de los padres para procesar los datos personales de menores de 16 años.
Deben existir políticas claras con respecto al manejo de datos personales, con plazos de retención claramente definidos. El anexo A de la ISO 27001 "Medidas de control específicas", sección A.18.1.4 - Privacidad y protección de la información de identificación personal, menciona las obligaciones de cumplimiento relacionadas con la privacidad y protección de la información personal.
-
Las empresas que no tengan su sede en la UE y que hagan negocios en la UE con datos de sujetos de la UE también deberán cumplir con la regulación.
La regulación tiene un alcance global: si la organización tiene clientes en la UE, también deben cumplir con la regulación, especialmente si recopilan información personal. Recogido en el punto A.18.1.4.
-
Se debe solicitar consentimiento claro y afirmativo para el procesamiento de datos personales. La inactividad o falta de respuesta ya no son formas válidas de consentimiento.
Existe un requisito para solicitar un consentimiento informado para procesar o detener el procesamiento. La demostración de este hecho debe estar disponible. Los procedimientos y registros definidos deben estar en orden. También existen una serie de medidad de control; A.8.2.3 - Manipulación de activos, A.12.1.1 - Procedimientos operativos documentados, A.18.1.3 - Protección de registros, A.14.1.1 - Análisis y especificaciones de requisitos de seguridad de la información, A.8.3.2 - Eliminación de los medios.
-
Si se produjese una infracción que pueda representar un riesgo para la libertad de los interesados, la empresa debe informarlo a su autoridad de protección de datos (Oficina de Comisionados de Información -ICO) en un periodo de 72 horas, a menos que existan circunstancias excepcionales que deberán justificarse . Si el riesgo es alto, el sujeto de los datos también debe ser notificado, sin embargo, no se ha detallado una escala de tiempo específica que detalle cuándo debe suceder esto.
Las infracciones deben ser informadas al momento de detectarse. Los incidentes de seguridad se mencionan en la sección A.16 - Gestión de incidentes de seguridad de la información. Medida de control A.18.1.4. - Privacidad y protección de información de identificación personal
-
Las evaluaciones de riesgo de impacto en la Protección de datos ahora son obligatorias antes de emprender actividades de procesamiento de datos de mayor riesgo. Cuando los riesgos de incumplimiento son altos, los controladores de datos deberán realizar evaluaciones de impacto sobre la privacidad para analizar minimizar el riesgo.
La ISO 27001 o Sistema de gestión de la seguridad de la información es un marco de políticas y procedimientos que incluye todos los controles legales, físicos y técnicos que forman parte de los procesos de gestión de riesgos de información de una empresa. La cláusula de planificación de la norma, cláusula 6, detalla las acciones para abordar los riesgos y oportunidades, más notablemente 6.1.2. - Evaluación de riesgos de seguridad de la información y 6.1.3. - Tratamiento de riesgos de seguridad de la información. Medida de control A.8.2.1 - Clasificación de la información.
-
Ciertas empresas tendrán que nombrar un Oficial de Protección de Datos. El artículo 35 del RGPD establece que dichos oficiales deben ser designados para todas las autoridades públicas. También será el caso donde las actividades centrales del controlador o procesador involucren "el monitoreo regular y sistemático de los sujetos de datos a gran escala" o cuando la organización realice un procesamiento a gran escala de "categorías especiales de datos personales". No se han especificado las credenciales para este rol, sin embargo, el RGPD requiere que los oficiales tengan "conocimientos suficientes sobre las leyes y prácticas de protección de datos".
Las responsabilidades y autoridades para los roles relevantes de seguridad de la información deben asignarse y comunicarse como se establece en la cláusula 5.3 - Funciones organizativas, responsabilidades y autoridades y A.6.1.1 - Funciones y responsabilidades de seguridad de la información.
-
Los interesados tienen derecho de olvido, que implica que la información relacionada con su identidad debe ser borrada o destruida.
Esta es una forma de retirar el consentimiento e implica requisitos de control del sistema y del proceso para permitir el borrado de información almacenada y registrar esta función. Esto también puede estar relacionado con archivos o copias de seguridad. Entre los controles relevantes se incluyen; 6.1.2 Evaluación de riesgos de seguridad de la información, A.14.1.1 - Análisis y especificaciones de requisitos de seguridad de la información, A.8.3.2 - Eliminación de medios, A.16 - Gestión de incidentes de seguridad de la información, A.12.3 - Copia de seguridad.
-
Los procesadores de datos pueden ser considerados responsables de las infracciones y tendrán responsabilidades legales. Los arreglos contractuales deberán revisarse y actualizarse. La estipulación de responsabilidades y responsabilidades entre el controlador y el procesador será un factor importante en futuros acuerdos, ya que las partes deberán documentar sus responsabilidades con mayor claridad.
Los aspectos de privacidad y seguridad de la información se deben abordar al administrar las relaciones con los socios comerciales. Esto podría incluir, por ejemplo; investigación conjunta de infracciones de datos, resolución de incidentes de privacidad y logro y mantenimiento de un nivel asegurado de cumplimiento del RGPD. Numerosas cláusulas y control abordan este problema, como: 5.3 - Funciones organizacionales, responsabilidades y autoridades, 9.1 - Monitoreo, medición, análisis y evaluación, A.13.2 - Transferencia de información, A.15 - Relación con el proveedor, A.16 - Gestión de incidentes de seguridad de la información, A.18 - Cumplimiento.
-
El principio de privacidad debe convertirse en la piedra angular de la construcción de los procesos. Los sistemas y procesos deben considerar el cumplimiento de los principios de protección de datos acorde al RGPD. La privacidad en un servicio o producto debe tenerse en cuenta desde el inicio haste el fin del servicio.
La privacidad por diseño y por defecto constituyen ejemplos de principios de privacidad que sustentan cada aspecto del proyecto: especificación, diseño, desarrollo, operación y mantenimiento. Esto incluye las relaciones con terceros y con proveedores de servicios de Internet. Cláusula 6 - Se aplican la planificación y casi todas las medidas de control del Anexo A.
Multas y consecuencias
Según el RGPD, la multa más alta podría alcanzar los 20 millones de euros o el 4% de la facturación global anual de una empresa, escogiendo el importe más alto. Para algunos negocios esto podría representar una amenaza de quiebra o incluso cierre.