Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

La ISO 27701 y la protección de la privacidad

18 Sep 2020

ISO-27701
La ISO 27701:2019 es el nuevo estándar internacional para la gestión de la seguridad de la información y la privacidad.

Este estándar se ha publicado el 6 de agosto de 2019 y está llamado a ser el estándar internacional en el ámbito de la protección de datos personales, tanto desde el punto de vista de la seguridad de la información como del cumplimiento de la normativa de protección de datos personales.

En este artículo vamos a describir los aspectos esenciales de este nuevo estándar.

 

¿Qué es la ISO 27701?

 

Es un nuevo estándar desarrollado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) para que las organizaciones puedan gestionar la seguridad y la privacidad de la información personal que manejan en sus procesos.

Esta norma permite asegurar, dentro de la organización, la conexión entre los actuales requisitos para sistemas de información y la legislación actual en materia de protección de datos personales (Reglamento General de Protección y Datos y Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).

De esta forma, la implantación de la ISO 27701 en una organización permite garantizar que esta organización tiene una gobernanta de datos integral u universal con los requisitos legislativos y regulatorios que le son de aplicación.

 

La ISO 27001 y la ISO 27701

 

La norma ISO 27001 es el estándar internacional en la gestión de la seguridad de la información, proporcionando la directrices para que una organización implante un Sistema de Gestión de la Seguridad de la Información (SGSI) y está ampliamente implantada en todo el mundo.

En este contexto, la ISO 27701 es una extensión de la ISO 27001, que proporciona un conjunto de requisitos y controles adicionales para gestionar, además de la seguridad de la información, también la privacidad de los datos personales y el cumplimiento de la normativa de protección de datos personales, disponiendo la organización de un Sistema de Gestión de la Seguridad de la Información y la Privacidad (SGSIP).

Por tanto, el enfoque de este estándar es que las organizaciones que lo implanten puedan dar también cumplimiento a los requisitos de la legislación vigente en materia de protección de datos personales.

Tanto la ISO 27001 como la ISO 27701 son normas certificables.

 

La ISO 27701 y el RGPD

 

El Reglamento General de Protección de Datos, en su artículo 42 promueve la creación de mecanismos de certificación en materia de protección de datos a fin de demostrar el cumplimiento de la normativa de protección de datos personales en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.

Además, estos mecanismos de certificación pueden también utilizarse para demostrar la existencia de garantías adecuadas, en relación al cumplimiento de la normativa de protección de datos personales, por parte de responsables y encargados del tratamiento.

La certificación ISO/IEC 27701 está pensada para organizaciones que dispongan de la certificación ISO/IEC 27001, y para aquellas que, sin contar con un SGSI, deseen implantar un Sistema de Gestión de Seguridad de la Información y de la Privacidad integrado como un único proceso.

 

Ventajas de implantar la ISO 27701

 

La ISO 27701 establece un marco para que los responsables y encargados del tratamiento de datos personales gestionen los controles de privacidad, a fin de reducir el riesgo para los derechos de los interesados vinculados a su privacidad.

También se constituye como una hoja de ruta que los Delegados de Protección de Datos podrán utilizar como referencia para el desarrollo práctico de sus funciones en el día a día de la organización poder garantizar el cumplimiento ante terceros.

Es necesario recordar que el Reglamento General de Protección prevé cuantiosas sanciones para las entidades que lo incumplan y disponer de un Sistema de Gestión de la Seguridad de la Información y la Privacidad minimiza las posibilidades de incumplimiento de la normativa de protección de datos.

 

¿Es necesario contar con una empresa consultora que asesoren la implantación?

 

No, en ningún momento se ha establecido como un requisito contar con una consultora externa para la obtención de un certificado ISO/IEC 27701.

En cualquier caso, sí que es recomendable contar con esta ayuda cuando la entidad no cuente con suficientes conocimientos y experiencia como para abordar la implementación del sistema con sus propios medios, o requieran de ayuda externa de algún tipo para abordar aspectos concretos.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.