ISO 27701 - La norma de privacidad de la información
06 abril 2022
Tras conseguir recientemente la acreditación UKAS para la norma ISO 27701, nuestro Director de Garantía de la Seguridad de la Información, Tim Pinnell, nos da ciertas nociones sobre la norma de gestión de privacidad de la información y su relevancia.
En 2018, el RGPD se implementó en toda la UE y afectó a las consideraciones de privacidad de datos que las organizaciones deben ofrecer a sus clientes, empleados, socios y posibles clientes... Desde esta importante implementación legislativa, ha sido difícil encontrar orientación sobre cómo una organización puede seguir cumpliendo con los requisitos del RGPD dentro de sus sistemas de gestión existentes.
La norma ISO 27001:2013 incluye requisitos de seguridad que pueden aplicarse para proteger los datos, pero había una clara brecha entre esta norma y el cumplimiento del RGPD. Algunas organizaciones incluyeron (y siguen incluyendo) el RGPD y otras legislaciones de privacidad específicas de cada estado como algo importante para la norma y normalmente se mantiene en el registro legislativo.
Sin embargo, esto no es suficiente. La eficacia de un Sistema de Gestión de Seguridad de la Información es limitada para garantizar el cumplimiento del RGPD y otras regulaciones de privacidad de datos. La ISO/IEC identificó esto y formuló una nueva norma en 2019 que se basa en el SGSI implementado para mejorar las cláusulas y los controles existentes y cerrar deficiencias entre el SGSI y el cumplimiento de la privacidad de los datos.
La ISO 27701:2019 es esta nueva norma. Vea este vídeo pare hacerse una idea de los fundamentos y dar un un primer vistazo a cómo aplicar esta norma.
Aunque una persona esté identificada o sea identificable, directa o indirectamente, a partir de los datos que se están tratando, no se trata de datos personales a menos que estén "relacionados" con la persona. Al considerar si la información se "relaciona" con una persona, hay que tener en cuenta una serie de factores, como el contenido de la información, la finalidad o las finalidades del tratamiento y el probable impacto o efecto de dicho tratamiento en la persona.
Algunos ejemplos de datos personales son:
Para otras organizaciones cuya función principal puede ser la recopilación o el alojamiento de grandes cantidades de datos considerados como información de identificación personal (IIP), entonces garantizar el cumplimiento de sus requisitos legislativos en materia de privacidad de datos es enormemente importante para su reputación.
El alcance del reglamento va mucho más allá de las fronteras de la UE. Algunos ejemplos destacados de violación de datos:
Los beneficios de la implantación de un SGSI están bien documentados. Aquí he esbozado algunas de las implicaciones más amplias que tiene para una organización la implantación de la extensión técnica del SGPI.
La norma ISO 27001:2013 proporciona un marco mediante el cual una organización puede identificar la legislación en materia de seguridad de la información aplicable a sus actividades, productos, servicios y riesgos identificados. Dicho marco se extiende para proporcionar los medios para cumplir con los requisitos normativos identificados.
La norma ISO 27701:2019 es capaz de dar mayor claridad y garantía al cumplimiento de los requisitos legislativos y reglamentarios debido al enfoque específico en las áreas temáticas.
Los riesgos y problemas de seguridad de la información identificados en las normas ISO 27001 e ISO 27701 proporcionan los medios por los que una organización puede comunicar y consultar sus riesgos de seguridad de la información. El resultado puede ser:
Mediante la aplicación de estrategias de mejora de la seguridad de la información y a través de la implantación efectiva de un sistema documentado de gestión de la seguridad de la información, se pueden conseguir importantes ahorros financieros, sin olvidar el efecto que la reducción de incidentes puede tener en la moral de los empleados, el cliente y otras partes interesadas clave.
A medida que se eliminan o se controlan los incidentes de seguridad de la información y sus riesgos asociados, se reducen las responsabilidades, ofreciendo una mayor estabilidad a la empresa.
Por último, algo que no se puede ignorar es el beneficio para la reputación que supondrá la certificación de la norma ISO 27701. No se puede subestimar la importancia de mostrar a sus socios, clientes, competidores y clientes potenciales que está comprometido y puede demostrar el cumplimiento de los requisitos de privacidad de datos.
En la era de la información, demostrar que se está comprometido con la privacidad de los datos debería formar parte del tejido de toda empresa y negocio. Cuando el tratamiento de la información constituye una consideración de procedimiento importante, es imprescindible tener la confianza de que se cumple la normativa. Las consecuencias del incumplimiento pueden ser graves.
Revisado por: Tim Pinnell, Director de Garantía de la Seguridad de la Información de NQA
La norma ISO 27001:2013 incluye requisitos de seguridad que pueden aplicarse para proteger los datos, pero había una clara brecha entre esta norma y el cumplimiento del RGPD. Algunas organizaciones incluyeron (y siguen incluyendo) el RGPD y otras legislaciones de privacidad específicas de cada estado como algo importante para la norma y normalmente se mantiene en el registro legislativo.
Sin embargo, esto no es suficiente. La eficacia de un Sistema de Gestión de Seguridad de la Información es limitada para garantizar el cumplimiento del RGPD y otras regulaciones de privacidad de datos. La ISO/IEC identificó esto y formuló una nueva norma en 2019 que se basa en el SGSI implementado para mejorar las cláusulas y los controles existentes y cerrar deficiencias entre el SGSI y el cumplimiento de la privacidad de los datos.
La ISO 27701:2019 es esta nueva norma. Vea este vídeo pare hacerse una idea de los fundamentos y dar un un primer vistazo a cómo aplicar esta norma.
¿Qué son los datos personales?
Los datos personales son información que se refiere a un individuo identificado o identificable. Lo que identifica a un individuo puede ser tan simple como un nombre o un número o puede incluir otros identificadores como una dirección IP o un identificador de cookie, u otros factores como información personal (por ejemplo, dirección, número de teléfono o foto).Aunque una persona esté identificada o sea identificable, directa o indirectamente, a partir de los datos que se están tratando, no se trata de datos personales a menos que estén "relacionados" con la persona. Al considerar si la información se "relaciona" con una persona, hay que tener en cuenta una serie de factores, como el contenido de la información, la finalidad o las finalidades del tratamiento y el probable impacto o efecto de dicho tratamiento en la persona.
Algunos ejemplos de datos personales son:
-
Nombre y apellidos
-
Domicilio
-
Dirección de correo electrónico
-
DNI
-
Datos de localización (por ejemplo, la función de datos de localización de un teléfono móvil)
-
Dirección IP
-
Cookie ID
-
Datos del hospital/paciente
Para otras organizaciones cuya función principal puede ser la recopilación o el alojamiento de grandes cantidades de datos considerados como información de identificación personal (IIP), entonces garantizar el cumplimiento de sus requisitos legislativos en materia de privacidad de datos es enormemente importante para su reputación.
Incumplimientos
Desde la llegada del RGPD, una serie de organizaciones de alto nivel han incumplido la legislación, lo que ha dado lugar a multas que ahora ascienden a miles de millones de euros. Esto no solo incluye a organizaciones con sede en la UE, sino también a entidades con intereses comerciales dentro de la UE que tienen su sede fuera de ella.El alcance del reglamento va mucho más allá de las fronteras de la UE. Algunos ejemplos destacados de violación de datos:
- Hoteles Marriot: La actividad delictiva tuvo como objetivo el sistema de reservas de la cadena, dando acceso a nombres y detalles de pago. Se violaron 383 millones de registros. Multa por el GDPR de unos 100 millones de libras.
- Google: No responder a las solicitudes de los clientes en relación con el tratamiento de la información de identificación personal. Otras infracciones registradas, como no tener una base legal para dirigir la publicidad en función de los perfiles de los usuarios. Multa de 44 millones de libras.
Ventajas del PIMS
Los beneficios asociados a la implantación de un sistema de gestión de privacidad de la información son significativos. Además, si una organización ya tiene un SGSI en funcionamiento, la implantación del SGPI es un proceso relativamente sencillo, ya que el SGPI se basa en los controles del Anexo A que se habrían seleccionado al implantar el SGSI.Los beneficios de la implantación de un SGSI están bien documentados. Aquí he esbozado algunas de las implicaciones más amplias que tiene para una organización la implantación de la extensión técnica del SGPI.
La norma ISO 27001:2013 proporciona un marco mediante el cual una organización puede identificar la legislación en materia de seguridad de la información aplicable a sus actividades, productos, servicios y riesgos identificados. Dicho marco se extiende para proporcionar los medios para cumplir con los requisitos normativos identificados.
La norma ISO 27701:2019 es capaz de dar mayor claridad y garantía al cumplimiento de los requisitos legislativos y reglamentarios debido al enfoque específico en las áreas temáticas.
Los riesgos y problemas de seguridad de la información identificados en las normas ISO 27001 e ISO 27701 proporcionan los medios por los que una organización puede comunicar y consultar sus riesgos de seguridad de la información. El resultado puede ser:
- Reducir significativamente la carga de trabajo de cumplimiento de la normativa al no tener que soportar múltiples certificaciones
- Aumentar la confianza entre las organizaciones y los clientes al demostrar el cumplimiento de las leyes de privacidad de datos
- Generar pruebas que los responsables de la protección de datos pueden proporcionar a la alta dirección y a los miembros del consejo de administración para mostrar sus progresos en el cumplimiento de la normativa sobre privacidad.
- Aumentar las oportunidades de negocio y comercio a través de los flujos de datos transfronterizos
Mediante la aplicación de estrategias de mejora de la seguridad de la información y a través de la implantación efectiva de un sistema documentado de gestión de la seguridad de la información, se pueden conseguir importantes ahorros financieros, sin olvidar el efecto que la reducción de incidentes puede tener en la moral de los empleados, el cliente y otras partes interesadas clave.
A medida que se eliminan o se controlan los incidentes de seguridad de la información y sus riesgos asociados, se reducen las responsabilidades, ofreciendo una mayor estabilidad a la empresa.
Por último, algo que no se puede ignorar es el beneficio para la reputación que supondrá la certificación de la norma ISO 27701. No se puede subestimar la importancia de mostrar a sus socios, clientes, competidores y clientes potenciales que está comprometido y puede demostrar el cumplimiento de los requisitos de privacidad de datos.
En la era de la información, demostrar que se está comprometido con la privacidad de los datos debería formar parte del tejido de toda empresa y negocio. Cuando el tratamiento de la información constituye una consideración de procedimiento importante, es imprescindible tener la confianza de que se cumple la normativa. Las consecuencias del incumplimiento pueden ser graves.
Revisado por: Tim Pinnell, Director de Garantía de la Seguridad de la Información de NQA