ISO 27701: gestión de la privacidad de la información

La norma ISO 27701 se relaciona directamente con los requisitos de las normativas de protección de datos, como el conocido Reglamento General de Protección de Datos (RGPD).

Esta norma ISO se lanzó recientemente con el propósito de ayudar a las organizaciones a cumplir con los requisitos del RGPD y otras regulaciones de seguridad de privacidad.

La ISO 27001 es el estándar para implementar sistemas de gestión de seguridad de la información, y la ISO 27701 es el estándar de referencia para implementar un sistema de gestión de la privacidad.

Los 2 estándares tienen requisitos técnicos superpuestos y eso hace que sea un poco más sencillo implementar ISO 27701 si ya ha implementado ISO 27001.

Aquí te contamos qué es la norma ISO 27701, importancia para la empresa, cómo implementarla y su relación con el RGPD.

¿Qué es ISO 27701?

La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) son reconocidas internacionalmente como autoridades en sistemas de gestión y mejores prácticas.

ISO / IEC se ha convertido en un estándar de oro para satisfacer la postura de privacidad, cumplimiento y seguridad, especialmente en lo que se refiere a fintechs y proveedores de atención médica. Es una excelente manera de demostrar su cumplimiento a los clientes, socios comerciales y reguladores.

ISO 27701 respalda el cumplimiento de una gama internacional más amplia de legislación sobre privacidad y protección de datos.

Los estándares relacionados con 27701 son ISO 27018 e ISO 29151 que son códigos de práctica para proteger la información de identificación personal (PII). Específicamente, ISO 27018 se centra en las nubes públicas que actúan como procesadores de datos, mientras que ISO 29151 adopta un enfoque más general para proteger los datos confidenciales de los clientes.

Estos estándares establecen objetivos de control, controles y pautas para proteger la PII de acuerdo con una evaluación de impacto y riesgo. Ofrecen una guía eficaz, pero no están sujetos a un marco auditable externamente que pueda ofrecer garantías a terceros. ISO 27701 va más allá, estableciendo sistemas de gestión y requisitos de control. ISO 27701 se puede imaginar como una guía del sistema de gestión de información de privacidad (PIMS).

¿Qué es la gestión de la privacidad de la información?

La gestión de la información de privacidad se relaciona con las formas en que una organización recopila, almacena, usa y elimina la información de identificación personal (PII), que se recopila de las personas.

La PII se clasifica como cualquier tipo de información que se puede utilizar para identificar a una persona. Los controladores de PII y los procesadores de PII son responsables de la recopilación legal de PII y de cómo se maneja.

Las regulaciones son bastante firmes y rigen:

  • La recopilación y el uso de PII
  • La protección de la PII
  • Los derechos que tiene un individuo sobre su PII.

Algunas de las más conocidas y significativas son:

  • La recopilación y el uso de PII debe tener un propósito y debe realizarse de acuerdo con las regulaciones pertinentes.
  • La PII debe estar protegida (almacenada de forma segura y cifrada).
  • Las personas tienen derecho a la eliminación, modificación y divulgación de los datos que una organización ha recopilado sobre ellas.

¿Qué falta en ISO 27001 para la protección de la privacidad?

Aunque un sistema de gestión de seguridad de la información (SGSI) ‘integral’ alineado con ISO / IEC 27001: 2013 aborda los problemas de privacidad, este requisito no es instructivo para los asuntos de privacidad.

Esto significa que los certificados de conformidad con ISO 27001 se emiten sin garantía de que se hayan cumplido adecuadamente las necesidades de protección de datos. Si bien la protección de datos requiere naturalmente un cierto grado de seguridad de la información (la legislación como el RGPD y la CCPA a menudo los aborda como @medidas técnicas y organizativas»), va mucho más allá de simplemente proteger la información: la organización también debe proteger los derechos de los datos, temas, que no pueden garantizarse únicamente a través de la seguridad de la información.

ISO 27001 es un marco de ciberseguridad que se utiliza para construir un sistema de gestión de seguridad de la información (SGSI) dentro de una organización. El estándar de seguridad fue publicado por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional en 2005, que luego se revisará en 2013 y la expansión de ISO 27701 se publicó en 2019.

ISO 27701 se creó como un componente adicional para complementar la norma ISO 27001 que introdujo más controles específicos de privacidad. Con ISO 27701, las organizaciones pueden crear un sistema de gestión de información de privacidad (PIMS) y obtener la certificación en determinadas prácticas de privacidad. La norma ISO 27701 se creó en gran parte para proporcionar una guía para cumplir con las regulaciones de privacidad que se están introduciendo en todo el mundo, como el RGPD (Reglamento general de protección de datos) y la CCPA (Ley de privacidad del consumidor de California).

Sin embargo, ISO 27701 no es un estándar independiente. Por el contrario, el estándar del sistema de gestión de seguridad de la información ISO 27001 original sirve como un chasis fundamental, y las organizaciones pueden agregar estándares ISO adicionales, como ISO 27701, que funcionan bien para las características específicas de su negocio. Al combinar ISO 27701 e ISO 27001, las organizaciones pueden generar confianza, prepararse para las regulaciones de privacidad y más. Además, muchos de los elementos de ISO 27701 se asignan directamente a aspectos del RGPD.

¿Cómo puede ayudar ISO 27701 a mi organización?

La ISO 27701 se relaciona con los requisitos que puedes encontrar en el reglamento general de protección de datos, y contribuirá a la gestión y documentación de los procesos de PII organizativos.

Usando ISO 27701, la organización puede construir y mantener un “sistema de gestión de información de privacidad” (PIMS). De manera similar a la ISO 27001, la ISO 27701 proporcionará objetivos y direcciones de control que tu organización puede considerar implementar.

Como se mencionó anteriormente en este artículo, es una opción obvia para las organizaciones que ya han implementado ISO 27001 (o aquellas que están en el proceso de implementarlo) considerar si también podrían querer agregar ISO 27701. Esto ayudará a cumplir con la normativa de protección de datos.

En general, las regulaciones de protección de datos se están volviendo cada vez más comunes en todo el mundo y cada país a menudo tendrá su propio conjunto de reglas que debe cumplir.

Ten en cuenta que no puedes elegir ISO 27701 como certificación independiente. Si deseas ser auditado / certificado de acuerdo con ISO 27701, también debes implementar ISO 27001.

¿Cómo se relaciona ISO 27701 con el cumplimiento del RGPD?

Sabiendo lo que sabemos de ISO 27701 y el RGPD, es fácil ver cómo ISO 27701 podría confundirse con el cumplimiento de GDPR, especialmente cuando se considera cuán estrechamente se relacionan los controles de ISO 27701 con los artículos del RGPD.

La diferencia, sin embargo, es que ISO 27701 es un sistema de gestión y no un reglamento. Un sistema de gestión es esencialmente un esquema para una organización, y le corresponde a la organización seguir y adaptar el sistema de una manera que tenga sentido. Los sistemas de gestión son intencionalmente vagos y no se pueden usar indistintamente con una regulación como el RGPD.

Por lograr la certificación ISO 27701, las organizaciones pueden cubrir muchas partes del RGPD, pero es imposible correlacionar completamente un estándar y una regulación. Ten en cuenta que las regulaciones valiosas que se aplican a la organización se enumeran a lo largo de la auditoría.

Otra diferencia fundamental entre RGPD e ISO 27701 es la capacidad de dividir el alcance de ISO 27701 en ciertos aspectos de tu negocio. Puedes implementar el sistema de gestión ISO 27701 en un departamento o servicio en particular, por ejemplo, el software que proporcionas a los clientes.

Si bien ISO 27701 no equivale al cumplimiento del RGPD, es un buen comienzo.

Directrices globales de protección de datos a través de ISO 27701

Los controles ISO 27701 reconocen la seguridad de la información como un aspecto clave de un programa de privacidad eficaz. Este conjunto de regulaciones agrega un conjunto más detallado de requisitos para la privacidad y el procesamiento de datos de PII.

ISO 27701 es un estándar global que establece un marco basado en la seguridad de la información para brindar a las organizaciones la capacidad de personalizar su programa de seguridad y cumplimiento de la información para su entorno legal y regulatorio específico.

Directrices específicas de protección de datos de ISO 27701

Las cláusulas 5 a 8 son requisitos adicionales y enmiendas que se aplicarán a ISO 27001 que son específicamente importantes para un programa de protección de datos.

Cláusula 5-Protección de datos

Esta cláusula aborda todas las cláusulas de la norma ISO 27001 e identifica dónde se necesita contenido adicional. La mayoría de las cláusulas de ISO 27001 permanecen sin cambios, con la salvedad de que ISO 27701 requiere que la organización reconozca su necesidad de protección de datos dentro de su contexto, y este contexto informa todos los demás requisitos.

Otra adición notable afecta la evaluación de riesgos, que deberá tener en cuenta el papel de la organización en relación con la PII, es decir, si es un controlador o un procesador, y cómo eso podría afectar los riesgos para la PII.

Cláusula 6: Orientación específica de PIMS

Esta sección proporciona contenido adicional para la guía de control establecida en ISO 27002. Establece una enmienda de nivel superior según la cual todas las referencias a la «seguridad de la información» deben considerarse como que incluyen la protección de la privacidad.

Los controles con un impacto potencialmente significativo en la privacidad y la protección de datos reciben una amplia guía adicional. Esto incluye temas como medios extraíbles, criptografía y desarrollo seguro.

Cláusula 7: Orientación adicional para controladores PII

Esta cláusula proporciona una guía sobre los controles del Anexo A de ISO 27701, que son específicos de la privacidad para los propósitos de los controladores de PII. Estos controles abordan muchas de las áreas críticas de la protección de datos y la privacidad que no se tienen en cuenta en los controles proporcionados en ISO 27001.

Cláusula 8: Orientación adicional para procesadores de PII

Esta cláusula proporciona una guía sobre los controles del Anexo B de ISO 27701, que son específicos de la privacidad para los propósitos de los procesadores de PII. Estos controles abordan muchas de las áreas críticas de la protección de datos y la privacidad que no se tienen en cuenta en los controles proporcionados en ISO 27001.

Requisitos aplicables a controladores y procesadores

En la ISO 27701 se incluyen una serie de requisitos aplicables tanto a controladores como a procesadores de datos.

  • Confidencialidad: Las personas autorizadas a acceder a la PII deben firmar un acuerdo de confidencialidad.
  • Analizar el riesgo: Se debe realizar una evaluación de riesgos de privacidad para identificar los riesgos de procesamiento de PII.
  • Supervisión: Las organizaciones deben designar a una persona que sea responsable de desarrollar, implementar, mantener y monitorizar su programa de gobierno y privacidad.
  • Entrenamiento: Se requiere capacitación en conciencia de privacidad para el personal que tiene acceso a PII.
  • Procesos internos: Las organizaciones deben adoptar diversas políticas y procedimientos, como planes de respuesta a incidentes por infracciones de PII.
  • Mantenimiento de registros: ISO 27701 requiere que las organizaciones mantengan un registro de todas las actividades de procesamiento de PII, incluidas las transferencias de PII entre jurisdicciones y las divulgaciones a terceros.

Requisitos específicos del controlador

Como requisitos del controlador, destacamos:

  • Avisos de privacidad: Las organizaciones deben proporcionar una política de privacidad que contenga información específica sobre la recopilación, el uso y el procesamiento de la PII.
  • Requisitos del contrato de procesador: Las organizaciones deben tener un contrato escrito con sus procesadores que aborde elementos específicos, como la protección de la PII, la limitación del procesamiento al propósito específico para el cual se recopiló la PII y la notificación de infracciones de la PII.
  • Derechos de las personas: ISO 27701 requiere que las organizaciones implementen mecanismos para acomodar los derechos de las personas para acceder, corregir y borrar su PII, así como oponerse o restringir el procesamiento de PII, entre otros.
  • Privacidad por diseño y por defecto: Las organizaciones deben adoptar medidas que pongan en práctica los principios de privacidad por diseño y privacidad por defecto.

Requisitos específicos del procesador

Como requisitos de procesador están:

  • Limitaciones de procesamiento: Las organizaciones deben procesar la PII solo según las instrucciones documentadas del controlador o procesador.
  • Ayudar con los derechos de las personas: ISO 27701 requiere que los procesadores implementen medidas que ayuden al cliente a cumplir con los derechos de las personas.
  • Transferencias y divulgaciones: Los procesadores deben informar al cliente con anticipación sobre las transferencias de PII entre jurisdicciones o cualquier cambio previsto en las mismas.
  • Subcontratistas: ISO 27701 requiere que los procesadores solo contraten a un subcontratista para procesar la PII de conformidad con los términos del contrato del cliente.

Beneficios de ISO 27701

El cumplimiento de la norma ISO 27701 requiere en primer lugar el cumplimiento de los requisitos de la norma ISO 27001. Están destinados a complementarse entre sí. Las organizaciones que sigan los requisitos de la norma ISO 27701 crearán evidencia documental de cómo manejan el procesamiento de la PII. Esto puede usarse para facilitar acuerdos con socios comerciales donde el procesamiento de PII es relevante y para aclarar el procesamiento de PII de la organización con otras partes interesadas.

Aunque el RGPD aún no tiene un método de certificación acreditado, según informes recientes, ISO 27701 podría cambiar eso en un futuro muy cercano.

Cómo implementarla

Los clientes que contraten a proveedores para procesar y mantener PII en su nombre deben considerar exigir contractualmente a esos proveedores que cumplan no solo con ISO 27001, sino también con ISO 27701 o que se certifiquen bajo este estándar si corresponde a la sensibilidad de los datos.

Incluso si el cliente no requiere que los proveedores estén certificados por un tercero independiente como que cumplen con el nuevo estándar, es posible que quieran actualizar sus contratos para asegurarse de que el proveedor pueda cumplir con los requisitos de ISO 27701. Dado que ISO 27701 todavía es muy nuevo, sería apropiado incluir en estos contratos una demora de tiempo razonable para que los proveedores cumplan con los requisitos de esta nueva norma.

Las organizaciones que tienen la certificación ISO 27001 y buscan implementar los requisitos de ISO 27701 deben considerar tomar los siguientes pasos:

  • Realizar una evaluación de brechas del SGSI existente según los requisitos de ISO 27701 y diseñar un plan de acción sobre cómo abordar esas brechas.
  • Realizar un mapeo de datos de la PII recopilada por la organización para comprender el alcance de la PII recopilada y cómo se usa y se comparte con los procesadores.
  • Determinar el rol de la organización como controlador y / o procesador en base a factores internos o externos que sean relevantes para su contexto, como la legislación de privacidad aplicable, regulaciones, decisiones judiciales o requisitos contractuales (entre otros).
  • Revisar y actualizar las políticas de privacidad para asegurarse de que contengan la información requerida.
  • Desarrollar políticas y procedimientos aplicables al rol de la organización.
  • Comenzar la planificación e implementación de la privacidad por diseño y principios predeterminados.

Por qué es importante un sistema de gestión de la información de privacidad

Las normas ISO son normas reconocidas mundialmente para el establecimiento, implementación y mantenimiento de un sistema de gestión basado en las mejores prácticas. Un sistema de gestión de la privacidad de la información puede ayudar a garantizar que tu organización cumpla con regulaciones como el RGPD. Como la mayoría de la gente sabe, las multas por infringir las normas de protección de datos son muy elevadas.

Si incumples estas regulaciones, correrás el riesgo de recibir multas de hasta 20 millones de euros o el 4% de la facturación anual. Pero, independientemente de la multa, el daño que puedas sufrir a tu reputación puede ser incluso peor.

Una encuesta europea ha encontrado recientemente que “El 65% de los encuestados dejarán de usar una marca si no tratan sus datos de acuerdo con la normativa”.

Al implementar la norma ISO 27701, estás documentando abiertamente tu compromiso con la seguridad de los datos y eso puede resultar fácilmente una gran inversión.