Solicitar presupuesto
Home Recursos Blog Enero 2021

Cumplimiento RGPD, certificación e ISO 27701

04 enero 2021
¿Cuántos proveedores o socios reciben cuestionarios de cliente preguntando por el cumplimiento del RGPD?

¿Cómo demuestran las organizaciones el cumplimiento del RGPD? Si es responsable de la protección de datos, el artículo 39.1 b hace del seguimiento del cumplimiento del RGPD un requisito obligatorio para este puesto.

La respuesta corta es que es bastante dificil demostrar dicho cumplimiento. Existen aproximandamente 40 artículos de obligado cumplimiento para una organización (ya sea como controladora o procesadora de datos). Cada artículo contiene una serie de sub-cláusulas, cada una de las cuales requiere algún tipo de medida o evidencia objetiva para demostrar el cumplimiento. Y si una organización tiene múltiples actividades de procesamiento, entonces probablemente el problema sea más complejo aún. 
 
A fecha de hoy, existen muchos servicios online que ayudan a las organizaciones con el cumplimiento del RGPD, incluyendo lista de verificación o guías generales. Pero efectivamente, solo se limitan a aconsejar a las organizaciones como implementar el RGPD y operarlo de manera que estén en cumplimiento. No hay muchas herramientas para controlar su cumplimiento.
 
Sin embargo, existen dos maneras de conseguir esto y ambas pueden utilizarse para demonstrar el cumplimiento a las partes interesadas.

Artífculo 42 del RGPD

La primera se recoge en el mismo RGPD, el artículo 42 establece las bases para normas de certificación del RGPD. Ya han pasado varios años desde el lanzamiento del RGPD y en Reino Unido todavía no existen normas de certificación RGPD, si bien hay algunas en desarrollo. Sería estupendo pensar que una norma RGPD sería la panacea para este problema, pero no es tan sencillo.
 
Las directrices del Comité Europeo de Protección de Datos y la ICO requieren que las normas sean específicas a las actividades de procesamiento particulares. Es poco probable que una norma cubra todas las actividades y podrían surgir varias normas de diferentes organismos de certificación para la misma actividad de procesamiento. Además, las organizaciones deberían elegir entre qué actividades de procesamiento quieren certificar, y si es más de una, esto significaría implementar dos normas distintas, que pueden ser certificadas por diferentes organismos de certificación con requisitos diferentes para las mismas funciones.

ISO 27701

La segunda manera de demostrar el cumplimiento es la ISO 27701, un Sistema de Gestión de Información Confidencial (SGIC). A modo de resumen, es una extensión de la ISO 27001 que hace énfasis en la gestión de riesgos de procesamiento de información personal, que se suman a otros riesgos de seguridad de la información de la organización. 
 
Un SGIC ayuda con el cumplimiento de los Artículos 5 a 49. Existe una tabla muy útil al final de la norma que especifica la relación entre el RGPD y la ISO 27701. Cada artículo solicitado por normas de certificación RGPD (5 y 6, 12-39 y 44-48) están cubiertos por el SGIC. Esto incluye la seguridad de procesamiento requerido por el artículo 32, que se cubre con la norma ISO 27001. 
 
Disponemos de buenos recursos para la implementación de un SGIC, incluyendo nuestra Miniguía de Implementación de ISO 27701.

Merece la pensa resaltar que la implementación de un SGIC supone una extensión de la ISO 27001 y esta infografía se basa en el Anexo A Análisis de Controles de ISO 27701 de NQA:

  1. Existen 6 subcláusulas adicionales: 2 para la Cláusula 4 (Liderazgo) y 4 para la Cláusula 6 (Planificación).

  2. 34 de los controles del Anexo A de la ISO 27001 se amplían para incluir requisitos de privacidad.

  3. Existen 31 nuevos controles para controladores.

  4. Existen 18 neuvos controles para procesadores.

De esta manera, si es controlador y procesador, puede sumar hasta 83 controles extra en su declaración de aplicabilidad, aunque depende del alcance de certificación. Parece mucho, pero todos están relacionados con artículos del RGPD. También existen requisitos para incluir la "privacidad" en todas las referencias a seguridad de la información, como "Evaluación de Riesgos de Seguridad de la Información y Privacidad"
 
De esta manera, la implementación de un SGIC acorde a la ISO 27701 supone un gran cumplimiento del RGPD. Cualquier organización que reciba un cuestionario de cliente puede reclamar de forma confidencial prubas de cumplimiento y evidencias.