ISO (International Organization for Standardization) publicó en agosto de 2019 la norma ISO/IEC 27701 Técnicas de seguridad. Extensión a ISO / IEC 27001 e ISO / IEC 27002 para la Gestión de la Información de Privacidad. Requisitos y directrices.

Esta norma especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS) en forma de una extensión a ISO / IEC 27001 e ISO / IEC 27002 para la gestión de privacidad dentro del contexto de la organización.

La norma ISO / IEC 27701: 2019 nace como una necesidad creciente de certificar el nuevo modelo de gestión sobre la privacidad de una organización.

Este documento especifica los requisitos relacionados con el sistema de gestión de la Privacidad y proporciona orientación, tanto para los responsables del tratamiento como los Encargados del tratamiento, de toda información de identificación personal (PII) que tienen responsabilidad del procesamiento de los datos personales.

Los responsables del tratamiento y/o los Encargados del tratamiento que han implementado ISO 27001 podrán usar la norma ISO/IEC 27701 para ampliar sus esfuerzos de seguridad para cubrir la gestión de la privacidad, incluido su procesamiento de datos personales / PII (información de identificación personal), lo que les ayudará a demostrar el cumplimiento (responsabilidad proactiva) de las leyes de protección de datos como el RGPD.

Las organizaciones sin un Sistema de Gestión de Seguridad de la Información, también pueden implementar ISO 27001 e ISO 27701, de forma conjunta, como un solo proyecto de implementación. 

La razón es que la norma ISO/IEC 27701 simplemente extiende los requisitos y la orientación proporcionados por ISO 27001 y su código de práctica, ISO 27002, por lo que no hay necesidad de combinar dos sistemas de gestión separados.

La norma ISO 27701 ha sido diseñada para ser utilizada por todos responsables del tratamiento y/o los Encargados del tratamiento que traten datos personales. 

Al igual que ISO 27001, aboga por un enfoque basado en el riesgo.

Es aplicable a todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro.

Alcance de la norma ISO/IEC 27701.

Es aplicable tanto a los controladores como a los procesadores de PII, Personally Identifiable Information (información personal, información personalmente identificable o información personal de identificación).

La aplicación prevista de ISO/IEC 27701 es aumentar el SGSI/ISMS existente con controles específicos de privacidad y, por lo tanto, crear PIMS para permitir una gestión de privacidad efectiva dentro de una organización.

Un PIMS robusto tiene muchos beneficios potenciales para los responsables y encargados PII, con al menos tres ventajas significativas:

Primero:

Lograr el cumplimiento de los requisitos de privacidad (particularmente leyes y regulaciones, más acuerdos con terceros, políticas de privacidad corporativas, etc.) es una carga, especialmente si los requisitos no están organizados de la manera más efectiva para los controladores y procesadores PII.

Las organizaciones sujetas a múltiples obligaciones de cumplimiento de privacidad (por ejemplo, de varias jurisdicciones en las que operan o viven los interesados) se enfrentan a cargas adicionales para conciliar, satisfacer y vigilar todos los requisitos aplicables.

Un enfoque administrado alivia la carga de cumplimiento, por ejemplo, como lo demuestra el Anexo C de la norma: un solo control de privacidad puede satisfacer múltiples requisitos del Reglamento General de Protección de Datos (RGPD).

En segundo lugar

Lograr y mantener el cumplimiento de los requisitos aplicables es una cuestión de gobernanza y garantía.

Con base en el PIMS (y, potencialmente, su certificación), los DPOs pueden proporcionar la evidencia necesaria para asegurar, a las partes interesadas (alta gerencia, propietarios, autoridades, etc.) que se cumplen los requisitos de privacidad aplicables.

En tercer lugar

La certificación PIMS puede ser valiosa para comunicar el cumplimiento de la privacidad a clientes y socios. 

Los responsables PII generalmente exigen pruebas de los encargados PII de que el sistema de gestión de privacidad de éstos (encargados PII) cumple con los requisitos de privacidad aplicables.

Un marco de pruebas uniforme basado en estándares internacionales puede simplificar en gran medida dicha comunicación de transparencia de cumplimiento, especialmente cuando la evidencia es validada por un auditor externo acreditado.

Esta necesidad, en la comunicación de la transparencia del cumplimiento, también es crítica para las decisiones comerciales estratégicas, como fusiones y adquisiciones, y escenarios de co-responsables que involucran un acuerdo de intercambio de datos.

Por último, la certificación PIMS puede servir para indicar confiabilidad al público.

Contenido de la norma ISO/IEC 27701

Al estilo de una variante específica del sector de ISO/IEC 27001, el estándar desarrolla las diferencias relacionadas con PIMS con los estándares 27001 y 27002 cláusula por cláusula.

Por ejemplo:

“ISO / IEC 27001: 2013, 6.1.3.c) se refina de la siguiente manera:
Los controles determinados en 6.1.3 b) de ISO / IEC 27001: 2013 se compararán con los de ISO / IEC 27001: 2013, Anexo A y / o Anexo B de este documento para verificar que no se hayan omitido los controles necesarios».

Al evaluar la aplicabilidad de los objetivos de control y los controles de ISO / IEC 27001: 2013 Anexo A para el tratamiento de riesgos, los objetivos y controles de control deben considerarse en el contexto tanto de los riesgos para la seguridad de la información como de los riesgos relacionados con el procesamiento de PII, incluidos los riesgos para los directores de PII «.

Notas.

Alguien familiarizado con ISO 27001 debería tener pocas dificultades para aplicar los principios de gestión de riesgos de la información a la información personal. La norma ofrece 66 páginas de consejos.

La entrada NORMA ISO/IEC 27701. Gestión de la privacidad. se publicó primero en Gestiona Abogados.

Una de las mejores maneras de garantizar el cumplimiento de la normativa de protección de datos es, sin lugar a dudas, la realización de una auditoría.

No es obligatoria para todas las organizaciones, sino para las que traten datos personales de nivel alto.

Podemos encuadrarnos en el marco de UNE/ISO y considerar la ISO 19011, que puede ayudar a las organizaciones a mejorar el desempeño de los Sistemas de Gestión que se encuentren implementados en la organización.

Será supervisada por el DPD

Debe llevarse a cabo sobre archivos, tanto automatizados como manuales.

Se puede realizar tanto a nivel interno, como externo.

Objetivos de la auditoria 

Detectar posibles deficiencias en los sistemas de información de la empresa, y detallar las acciones a realizar para solucionarlas.

Transmitir a los trabajadores de la organización la importancia que supone la recolección de los datos personales de terceros, asegurando la protección y el correcto tratamiento de los mismos.

Cumplir con la obligación de comprobar las medidas de seguridad en materia de protección de datos.

Descubrir oportunidades de mejora en las medidas de seguridad auditadas.

¿Cómo se realiza una auditoría de protección de datos?

Es necesario realizar una verificación a nivel informático y técnico mediante el análisis de los sistemas de información implantados en la empresa, así como de la correcta aplicación de las medidas, dependiendo de los niveles de seguridad en protección de datos que tenga cada organización.

Debe ser realizada siempre por un organismo independiente y cualificado que efectúe los diversos procesos con imparcialidad y objetividad en todo momento, sin atender a factores internos o externos que puedan afectar a la empresa.

A nivel informático, se debe comprobar si existe un sistema seguro y confiable que asigne usuarios y contraseñas de manera individual, si se realizan copias de seguridad, cómo se llevan a cabo, con qué frecuencia,  así como todos los aspectos relacionados con los procesos informáticos que conlleven el tratamiento de datos personales.

A nivel técnico, las personas que se encarguen de realizar la auditoría en protección de datos comprobarán si en la empresa existe algún sistema de destrucción de datos, así como si el acceso a los ficheros con datos personales o a las copias de seguridad está correctamente protegido.

Fases

Organización

En este primer punto se deben detallar los objetivos finales de la auditoría y organizar los procedimientos que se llevarán a cabo:

• archivos que se verificarán
• medidas de seguridad a aplicar
• sistemas, programas
• trabajadores de la empresa que tienen acceso a los datos personales.

Habrá que definir el alcance de la auditoría (si es un grupo de empresas al completo, solo una parte de ellas, solo un departamento en concreto, un proceso, etc.), y el periodo temporal sobre el que se realizará la auditoría.

Asimismo, será necesario fijar los procedimientos que se realizarán durante la auditoría,  y las personas que serán responsables de la misma.

La información que se solicita, puede variar de una entidad a otra, pero en lo fundamental es básicamente la misma:

1. Organigrama funcional de la entidad
2. Informes de auditoría previos
3. Documento de Seguridad de la entidad
4. Otros documentos con políticas de seguridad que puedan existir
5. Listado de encargados de tratamiento con acceso a datos
6. Otra información que se considere relevante para la auditoría

Planificación y recopilación de información

En esta segunda fase se deberá definir un calendario de entrevistas a los trabajadores, reunir la documentación en la que estén incluidos datos personales, comprobar la información recogida, así como otros procesos que impliquen la toma de datos de la organización empresarial.

Entrevistas personales

En esta fase se analiza, junto a las personas seleccionadas, el conocimiento sobre los tratamientos de datos que la entidad gestiona, y sus responsabilidades. También se analizan aspectos relacionados con la información, sobre la documentación previa recabada.

Análisis del entorno

En esta fase se verifica lo comentado con el personal en las entrevistas y lo recabado en la documentación previa, en base a pruebas físicas y observaciones de primera mano del auditor. Estas pruebas se llevarán a cabo tanto en los referidos entornos automatizados como en la gestión de la documentación en papel.

Análisis de la información recabada

Con todas las notas recopiladas de las entrevistas y el análisis de primera mano del entorno, se procede al análisis de toda la información recabada.

Este análisis contrastará la normativa de referencia, la documentación y políticas de la entidad, con la realidad hallada por el auditor.

Es conveniente que el marco normativo de referencia  quede claramente determinado en los informes que se generen, para que el auditado pueda tener una imagen concreta y real de la situación, y de esta forma, poder tomar decisiones adecuadas.

Revisaremos:

• La seguridad del tratamiento (pseudonimización y cifrado de datos personales, capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente).
• Los principios relativos al tratamiento (licitud y transparencia de la información, condiciones para el consentimiento, información de sus derechos al interesado, tratamiento de categorías especiales de datos).
• El documento de designación del DPD, de su posición dentro de la organización, el documento de sus funciones, y el documento de  comunicación de su designación  a la autoridad de control.
• Verificaremos el cumplimiento de sus obligaciones por parte de los encargados de tratamiento y de los representantes de responsables.
• En caso de producirse una adhesión a un código de conducta, se debe verificar también en qué medida se cumple, si es adecuada, y el mecanismo de certificación aplicado.
• Las notificaciones de una violación de seguridad de los datos personales a la autoridad de control (en su caso), así como si existen los mecanismos de detección y comunicación apropiados.
• La comunicación de una violación de seguridad de los datos personales al interesado.
• Los documentos relativos a las transferencias de datos a terceros países u organizaciones internacionales.
• Las normas corporativas vinculantes.

Elaboración del informe final

En la última etapa de la auditoría de protección de datos se elabora la conclusión final, detallando los aspectos a mejorar, las deficiencias, las propuestas orientadas a corregir los errores, así como el nivel de adecuación a las exigencias legislativas.

En el caso de que existan inconformidades o incumplimientos, deberemos justificarlos explicando el porqué de la no conformidad, e incluyendo un Plan de Acción, y efectuando recomendaciones en el mismo con respecto a:

• Riesgo: bajo, medio, alto.
• Plazo sugerido de solución: corto, medio o largo.
• Coste: bajo, medio o alto.
• Dificultad: baja, media o alta
• Medidas correctoras o complementarias precisas

La información reflejada en el informe de auditoría deberá estar posteriormente a disposición de la Agencia Española de Protección de Datos para constatar la correcta adecuación de la empresa a la legislación vigente.

Gestiona Abogados

La entrada AUDITORIA DE PROTECCION DE DATOS se publicó primero en Gestiona Abogados.

Despachos de abogados, gabinetes de psicología o logopedia, clínicas de todo tipo (dentistas, podólogos, fisioterapia…), etc.

Este tipo de actividades, por norma general, estaban sujetas a realizar la auditoria de protección de datos cada 2 años.

Con la entrada en vigor de del RGPD, las auditorias y los niveles de seguridad (básico, medio y alto) desaparecen.

Sin embargo, esta figura ha sido sustituida por una evaluación de impacto (EIPD).

Un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de datos de los afectados cuyos datos se tratan.

Como resultado de ese análisis, la gestión de riesgos mediante la adopción de las medidas necesarias para eliminar o atenuar en lo posible aquellos que se hayan identificado.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad.

Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad).

De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

Si no se toma ningún tipo de medida para mitigar la probabilidad y la gravedad de un potencial escenario de riesgo, es altamente probable que se produzca y, a priori, puede tener unas  consecuencias muy graves.

Finalidad de una EIPD

Sus siglas en inglés son PIA, que corresponden a Privacy Impact Assessment.

El objetivo de una EIPD es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dicho riesgo (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

En consecuencia, las EIPD deben realizarse antes de iniciar las operaciones de tratamiento; siendo el primer paso la determinación de la necesidad (o no) de la propia evaluación de impacto.

Las evaluaciones de impacto  se deben realizar una sola vez, antes del comienzo de la actividad (o antes de la adaptación al RGPD, si la actividad ya ha comenzado), y únicamente en determinados casos.

El RGPD no especifica exactamente qué tipo de empresas deben pasarla, sino que da unas directrices para que cada país decida.

¿Cuándo debe realizarse una Evaluación de Impacto?

Es recomendable que en el momento de realizar un nuevo tratamiento se analicen los posibles riesgos que puede entrañar el mismo.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD.

Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual.

Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

No obstante, la nueva regulación europea establece que la EIPD  es obligatoria cuando se dé:

• Alto riesgo
• Evaluación sistemática
• Tratamiento a gran escala de datos especialmente protegidos
• Uso de tecnologías invasivas

Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.

Evaluación sistemática

En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado

Es el caso de la elaboración de perfiles.

Tratamiento a gran escala de datos especialmente protegidos

Si se realiza un tratamiento a gran escala de las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

Incluimos en este apartado también los datos personales relativos a menores.

Uso de tecnologías invasivas

Siempre que se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad.

Nos referimos a:

• Videovigilancia a gran escala
• Aeronaves no tripuladas (drones)
• Vigilancia electrónica
• Minería de datos
• Biometría
• Técnicas genéticas
• Geolocalización

Empresas obligadas a realizar una Evaluación de Impacto

Algunas de las entidades que tienen que realizar una evaluación de impacto son:

• Farmacéuticas
• Hospitales y clínicas
• Seguridad privada, vigilancia y control
• Comercializadoras de energía
• Empresas que realicen e-commerce
• Colegios

Continuando con la descripción de las circunstancias que obligan a hacer la evaluación de impacto, el Reglamento también establece que las autoridades de supervisión están obligadas a elaborar y publicar una lista con los tipos de operaciones de tratamiento que están sujetos a la exigencia de llevar a cabo una EIPD.

¿Cual es el papel del Delegado de Protección de Datos con respecto a las EIPD?

En primer lugar, hay que decir que el RGPD determina que cuando el responsable del tratamiento debe llevar a cabo una EIPD tiene que buscar el asesoramiento del DPO.

Bajo mi punto de vista, junto con la privacidad por defecto y desde el diseño, las evaluaciones de impacto en protección de datos es una de las herramientas que, bien aplicada y sobre todo en aquellos supuestos en que resulte obligatorio realizarlas, contribuye en gran medida a acreditar que la entidad cumple con el principio de responsabilidad proactiva (accountability) que exige el Reglamento.

Tarifas

No hay un precio definido ni cerrado para la contratación de una Evaluación de Impacto.

El precio dependerá del alcance que el sistema de información, producto o servicio tenga en relación con el tratamiento de los datos personales, así como las categorías de datos que se traten.

Si necesitas realizar una EIPD puedes solicitarnos una propuesta económica.

Consúltenos en el teléfono 962915025 o en el correo electrónico protecciondatoscertificado@gmail.com,  para que podamos darle una información más precisa.

La entrada Auditorías – Evaluaciones de Impacto se publicó primero en Gestiona Abogados.