La ISO 27701:2019 es el nuevo estándar internacional para la gestión de la seguridad de la información y la privacidad.

Este estándar se ha publicado el 6 de agosto de 2019 y está llamado a ser el estándar internacional en el ámbito de la protección de datos personales, tanto desde el punto de vista de la seguridad de la información como del cumplimiento de la normativa de protección de datos personales.

En este artículo vamos a describir los aspectos esenciales de este nuevo estándar.

 

¿Qué es la ISO 27701?

 

Es un nuevo estándar desarrollado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) para que las organizaciones puedan gestionar la seguridad y la privacidad de la información personal que manejan en sus procesos.

Esta norma permite asegurar, dentro de la organización, la conexión entre los actuales requisitos para sistemas de información y la legislación actual en materia de protección de datos personales (Reglamento General de Protección y Datos y Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).

De esta forma, la implantación de la ISO 27701 en una organización permite garantizar que esta organización tiene una gobernanta de datos integral u universal con los requisitos legislativos y regulatorios que le son de aplicación.

 

La ISO 27001 y la ISO 27701

 

La norma ISO 27001 es el estándar internacional en la gestión de la seguridad de la información, proporcionando la directrices para que una organización implante un Sistema de Gestión de la Seguridad de la Información (SGSI) y está ampliamente implantada en todo el mundo.

En este contexto, la ISO 27701 es una extensión de la ISO 27001, que proporciona un conjunto de requisitos y controles adicionales para gestionar, además de la seguridad de la información, también la privacidad de los datos personales y el cumplimiento de la normativa de protección de datos personales, disponiendo la organización de un Sistema de Gestión de la Seguridad de la Información y la Privacidad (SGSIP).

Por tanto, el enfoque de este estándar es que las organizaciones que lo implanten puedan dar también cumplimiento a los requisitos de la legislación vigente en materia de protección de datos personales.

Tanto la ISO 27001 como la ISO 27701 son normas certificables.

 

La ISO 27701 y el RGPD

 

El Reglamento General de Protección de Datos, en su artículo 42 promueve la creación de mecanismos de certificación en materia de protección de datos a fin de demostrar el cumplimiento de la normativa de protección de datos personales en las operaciones de tratamiento llevadas a cabo por los responsables y encargados del tratamiento.

Además, estos mecanismos de certificación pueden también utilizarse para demostrar la existencia de garantías adecuadas, en relación al cumplimiento de la normativa de protección de datos personales, por parte de responsables y encargados del tratamiento.

La certificación ISO/IEC 27701 está pensada para organizaciones que dispongan de la certificación ISO/IEC 27001, y para aquellas que, sin contar con un SGSI, deseen implantar un Sistema de Gestión de Seguridad de la Información y de la Privacidad integrado como un único proceso.

 

Ventajas de implantar la ISO 27701

 

La ISO 27701 establece un marco para que los responsables y encargados del tratamiento de datos personales gestionen los controles de privacidad, a fin de reducir el riesgo para los derechos de los interesados vinculados a su privacidad.

También se constituye como una hoja de ruta que los Delegados de Protección de Datos podrán utilizar como referencia para el desarrollo práctico de sus funciones en el día a día de la organización poder garantizar el cumplimiento ante terceros.

Es necesario recordar que el Reglamento General de Protección prevé cuantiosas sanciones para las entidades que lo incumplan y disponer de un Sistema de Gestión de la Seguridad de la Información y la Privacidad minimiza las posibilidades de incumplimiento de la normativa de protección de datos.

 

¿Es necesario contar con una empresa consultora que asesoren la implantación?

 

No, en ningún momento se ha establecido como un requisito contar con una consultora externa para la obtención de un certificado ISO/IEC 27701.

En cualquier caso, sí que es recomendable contar con esta ayuda cuando la entidad no cuente con suficientes conocimientos y experiencia como para abordar la implementación del sistema con sus propios medios, o requieran de ayuda externa de algún tipo para abordar aspectos concretos.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad, la protección de datos personales.