Introducción.
ISO (International Organization for Standardization) publicó en agosto de 2019 la norma ISO/IEC 27701 Técnicas de seguridad. Extensión a ISO / IEC 27001 e ISO / IEC 27002 para la Gestión de la Información de Privacidad. Requisitos y directrices.
Esta norma especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS) en forma de una extensión a ISO / IEC 27001 e ISO / IEC 27002 para la gestión de privacidad dentro del contexto de la organización.
La norma ISO / IEC 27701: 2019 nace como una necesidad creciente de certificar el nuevo modelo de gestión sobre la privacidad de una organización.
Este documento especifica los requisitos relacionados con el sistema de gestión de la Privacidad y proporciona orientación, tanto para los responsables del tratamiento como los Encargados del tratamiento, de toda información de identificación personal (PII) que tienen responsabilidad del procesamiento de los datos personales.
Los responsables del tratamiento y/o los Encargados del tratamiento que han implementado ISO 27001 podrán usar la norma ISO/IEC 27701 para ampliar sus esfuerzos de seguridad para cubrir la gestión de la privacidad, incluido su procesamiento de datos personales / PII (información de identificación personal), lo que les ayudará a demostrar el cumplimiento (responsabilidad proactiva) de las leyes de protección de datos como el RGPD.
Las organizaciones sin un Sistema de Gestión de Seguridad de la Información, también pueden implementar ISO 27001 e ISO 27701, de forma conjunta, como un solo proyecto de implementación.
La razón es que la norma ISO/IEC 27701 simplemente extiende los requisitos y la orientación proporcionados por ISO 27001 y su código de práctica, ISO 27002, por lo que no hay necesidad de combinar dos sistemas de gestión separados.
La norma ISO 27701 ha sido diseñada para ser utilizada por todos responsables del tratamiento y/o los Encargados del tratamiento que traten datos personales.
Al igual que ISO 27001, aboga por un enfoque basado en el riesgo.
Es aplicable a todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro.
Alcance de la norma ISO/IEC 27701.
Es aplicable tanto a los controladores como a los procesadores de PII, Personally Identifiable Information (información personal, información personalmente identificable o información personal de identificación).
La aplicación prevista de ISO/IEC 27701 es aumentar el SGSI/ISMS existente con controles específicos de privacidad y, por lo tanto, crear PIMS para permitir una gestión de privacidad efectiva dentro de una organización.
Un PIMS robusto tiene muchos beneficios potenciales para los responsables y encargados PII, con al menos tres ventajas significativas:
Primero:
Lograr el cumplimiento de los requisitos de privacidad (particularmente leyes y regulaciones, más acuerdos con terceros, políticas de privacidad corporativas, etc.) es una carga, especialmente si los requisitos no están organizados de la manera más efectiva para los controladores y procesadores PII.
Las organizaciones sujetas a múltiples obligaciones de cumplimiento de privacidad (por ejemplo, de varias jurisdicciones en las que operan o viven los interesados) se enfrentan a cargas adicionales para conciliar, satisfacer y vigilar todos los requisitos aplicables.
Un enfoque administrado alivia la carga de cumplimiento, por ejemplo, como lo demuestra el Anexo C de la norma: un solo control de privacidad puede satisfacer múltiples requisitos del Reglamento General de Protección de Datos (RGPD).
En segundo lugar
Lograr y mantener el cumplimiento de los requisitos aplicables es una cuestión de gobernanza y garantía.
Con base en el PIMS (y, potencialmente, su certificación), los DPOs pueden proporcionar la evidencia necesaria para asegurar, a las partes interesadas (alta gerencia, propietarios, autoridades, etc.) que se cumplen los requisitos de privacidad aplicables.
En tercer lugar
La certificación PIMS puede ser valiosa para comunicar el cumplimiento de la privacidad a clientes y socios.
Los responsables PII generalmente exigen pruebas de los encargados PII de que el sistema de gestión de privacidad de éstos (encargados PII) cumple con los requisitos de privacidad aplicables.
Un marco de pruebas uniforme basado en estándares internacionales puede simplificar en gran medida dicha comunicación de transparencia de cumplimiento, especialmente cuando la evidencia es validada por un auditor externo acreditado.
Esta necesidad, en la comunicación de la transparencia del cumplimiento, también es crítica para las decisiones comerciales estratégicas, como fusiones y adquisiciones, y escenarios de co-responsables que involucran un acuerdo de intercambio de datos.
Por último, la certificación PIMS puede servir para indicar confiabilidad al público.
Contenido de la norma ISO/IEC 27701
Al estilo de una variante específica del sector de ISO/IEC 27001, el estándar desarrolla las diferencias relacionadas con PIMS con los estándares 27001 y 27002 cláusula por cláusula.
Por ejemplo:
“ISO / IEC 27001: 2013, 6.1.3.c) se refina de la siguiente manera:
Los controles determinados en 6.1.3 b) de ISO / IEC 27001: 2013 se compararán con los de ISO / IEC 27001: 2013, Anexo A y / o Anexo B de este documento para verificar que no se hayan omitido los controles necesarios».
Al evaluar la aplicabilidad de los objetivos de control y los controles de ISO / IEC 27001: 2013 Anexo A para el tratamiento de riesgos, los objetivos y controles de control deben considerarse en el contexto tanto de los riesgos para la seguridad de la información como de los riesgos relacionados con el procesamiento de PII, incluidos los riesgos para los directores de PII «.
Notas.
Alguien familiarizado con ISO 27001 debería tener pocas dificultades para aplicar los principios de gestión de riesgos de la información a la información personal. La norma ofrece 66 páginas de consejos.