¿Qué es la norma ISO 27701?

La Norma ISO 27701 es el aliado para las organizaciones que quieren garantizar el correcto cumplimiento de la normativa de protección de datos personales para diferenciarse del resto o para evitar cuantiosas sanciones.

Implantar la ISO 27701 demuestra el compromiso de la organización con el cumplimiento de la normativa de protección de datos y la seguridad de dicha información personal.

Es una Norma certificable con un gran reconocimiento a nivel internacional.

El cumplimiento de la normativa de protección de datos, un dolor de cabeza para las organizaciones

Todas las organizaciones manejan una gran cantidad de datos personales en su operativa diaria: datos de sus clientes, proveedores y trabajadores, los contactos de marketing, los datos de los potenciales clientes que se han interesado por sus productos y/o servicios, datos de asistentes a los eventos y las actividades que organiza, y un largo etcétera.

La recogida, el uso, e incluso la destrucción de dichos datos personales está regulada, de forma muy concreta, por la normativa de protección de datos personales, siendo la base fundamental de la misma el Reglamento General de Protección de Datos de Europa (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), que regula diversos aspectos de su aplicación en España.

Los datos personales que se recogen se utilizan para distintas finalidades que deben ser informadas en el momento de la recogida, debiendo guardar la entidad acreditación de la información que se les proporcionó en ese momento y del consentimiento, en su caso, que ha prestado el interesado que ha proporcionado los datos personales.

Una vez que la entidad ha recogido los datos de los datos personales, debe realizar un análisis de los riesgos a que están expuestos dichos datos para realizar la implantación de medidas de seguridad y controles que mitiguen dichos riesgos.

También debe regularizar las relaciones, en lo que respecta a los datos personales, con el personal propio de la organización y las empresas externas que les prestan servicios en los que están involucrados datos personales, aunque sea el mero alojamiento de estos en el servidor del proveedor.

Por otra parte, la entidad debe gestionar adecuadamente, en tiempo y forma, las peticiones de derechos que le puedan llegar por parte de las personas (clientes, proveedores, trabajadores, potenciales clientes, etc.)

El incumplimiento de alguna de las obligaciones que son aplicables al tratamiento de los datos personales puede acarrear sanciones de hasta 20.000.000€ a la entidad infractora.

El problema es que, ni el RGPD, ni la LOPDPGDD, proporciona una guía específica sobre las medidas que han de tomarse para cumplir los requisitos marcados.

En resumen, la normativa de protección de datos personales establece numerosos requisitos para las organizaciones que tratan datos personales, cuyo correcto cumplimiento y gestión supone, en muchos casos, un dolor de cabeza para ellas. 

Sin embargo, la implantación de un Sistema de Gestión de Protección de Datos (SGPD) basado en la Norma ISO 27701 permite realizar la implantación y gestión posterior de la normativa de protección de datos en la organización con todas las garantías de cumplimiento, evitando cuantiosas sanciones y diferenciándose dicha organización del resto, especialmente de sus competidores.

La Norma ISO 27701 y la protección de datos personales

La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Nacional (IEC) han desarrollado la ISO/IEC 27701 para proporcionar la guía necesaria para que las empresas aborden de forma eficaz la privacidad de los datos personales y el cumplimiento de la normativa de protección de datos personales.

La ISO 27701 es la solución para aquellas entidades (ya sean empresas, administraciones públicas, asociaciones, fundaciones o cualquier otro tipo de organización) que desean garantizar el correcto cumplimiento de la normativa de protección de datos a través de un sistema eficaz, contrastado y enfocado en la mejora continua.

De esta forma, la Norma ISO 27701 proporciona los requisitos necesarios para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Protección de Datos (SGPD) para la gestión de la privacidad de la información personal en una organización.

Para ello, la ISO 27701 toma en cuenta todo el ciclo de vida de los datos personales (recogida, registro, utilización, cesión y supresión), proporcionando una guía eficaz para el cumplimiento de los requisitos establecidos en cada fase del ciclo y guardando acreditación de su cumplimiento, tal y como establece el principio de “responsabilidad proactiva” del RGPD. 

Dicho principio establece expresamente, que el responsable del tratamiento no solo debe cumplir el RGPD, sino que debe ser capaz de demostrar, en cualquier momento, su correcto cumplimiento.

La ISO 27701 ayuda notablemente a la recopilación de evidencias sobre la gestión de los datos personales para que la organización cumpla, de forma suficiente, con el principio de “responsabilidad proactiva”.

¡Descarga la guía de Consejos de Ciberseguridad

y empieza a proteger la información de tu empresa!

La relación entre la ISO 27701 y la ISO 27001

Como hemos comentado, la ISO 27701 es una extensión de privacidad de la Norma internacional de gestión de la seguridad de la información ISO 27001. 

Por ello, requiere de un Sistema de Gestión de la Seguridad de la Información (SGSI) implantado bajo la norma ISO 27001 que esté implantado en la organización. Sobre dicho sistema “base” se adhiere la ISO 27701.

La ISO 27001 especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información en el contexto de la organización. Junto a ésta, la Norma ISO 27002 proporciona una serie de buenas prácticas para la gestión eficiente de la seguridad de la información a través de la preservación de la confidencialidad, integridad y disponibilidad. 

Con relación a esto, la Norma incorpora 114 controles de seguridad, que son ampliados, modificados o “afinados” a través de las especificaciones que aporta la ISO 27701.

La implantación de la ISO 27701 puede realizarse con posterioridad a la implantación de la ISO 27001 o, también, implantar las dos Normas al mismo tiempo.

¿Cómo mejora la ISO 27701 el cumplimiento de la protección de datos?

La ISO 27701 está diseñada para ser usada por responsables y encargados del tratamiento de datos personales, ya que aporta especificidades para cada uno de estos roles.

La ISO 27701 mejora la protección de la privacidad en las siguientes áreas:

• Establece roles y responsabilidades claras sobre los tratamientos de datos personales.
• Incorpora la gestión de los riesgos de privacidad en la gestión de riesgos de la empresa.
• Verifica el correcto cumplimiento del registro de actividades de tratamiento de la organización.
• Mejora la gestión de los contratos con los encargados del tratamiento.
• Aporta garantías de seguridad sobre los tratamientos de datos personales, preservando la confidencialidad, integridad y disponibilidad de dichos datos.
• Contribuye a implementar la privacidad desde el diseño y por defecto en los tratamientos.
• Contribuye a mejorar la información proporcionada a los interesados en la recogida de los datos personales.
• Controla la existencia de mecanismos para la notificación de las brechas de seguridad a la Autoridad de Control y a los interesados.
• Garantiza el ejercicio de los derechos de los interesados en tiempo y forma.

De esta forma, la ISO 27701 ayuda a garantizar que las organizaciones gestionan correctamente, y según establece la normativa, los datos personales que recogen.

Para ello, la ISO 27701 incluye una serie de requisitos específicos para la ISO 27001 y 27002 así como mapeo de los controles con los requisitos del RGPD.

¿Quién puede implantar la ISO 27701?

La ISO 27701 es aplicable a todo tipo de organizaciones, sin importar su tamaño o el sector al que pertenezcan, incluyendo empresas, entidades sin ánimo de lucro, administraciones y organismos públicos.

Las empresas y entidades que tienen implantada la Norma ISO 27001 pueden utilizar esta nueva Norma ISO 27701 para reforzar y ampliar la gestión de la protección de datos personales en su organización, ampliando el alcance de su sistema de gestión con este nuevo ámbito.

La ISO 27701 ayudará a obtener una ventaja competitiva a la empresa, ya que refuerza su compromiso con la seguridad de la información al ámbito del cumplimiento de las leyes en materia de protección de datos personales, como es el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).

Las organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, y quieran certificarse, tendrán que implantar conjuntamente la ISO 27001 y la ISO 27701.

Además, si la organización que ha implantado la ISO 27701 quiere demostrar ante terceros su buen desempeño y confiabilidad, puede certificarlo a través de alguna de las entidades de certificación acreditadas que existen.

Al ser la ISO 27701 una Norma internacional, la certificación obtenida a través de una entidad acreditada, no solo es reconocida a nivel de España, sino que es reconocida a nivel mundial, proporcionando confianza a entidades de otros países.

En definitiva, si la organización desea demostrar su compromiso con el cumplimiento de la normativa de protección de datos personales y diferenciarse de esta forma de otras empresas, la ISO 27701 es sin duda, la Norma que debe implantar y certificar.

Grupo CFI y la ISO 27701

Grupo CFI, a través de su director general, Julio César Miguel, a contribuido, de forma activa, a la traducción al español de la ISO 27701, siendo miembro fundador del Comité Técnico Nacional de Ciberseguridad y Protección de datos personales (CTN320), de la Asociación Española de Normalización (UNE). 

Desde este Comité, Grupo CFI contribuye activamente al desarrollo y evolución de las nuevas Normas internacionales que ayudan a las organizaciones a realizar una eficaz gestión de la ciberseguridad y la protección de datos personales.

Grupo CFI es el aliado perfecto para las empresas que deseen implantar un Sistema de Gestión de Protección de Datos (SGPD) bajo la Norma ISO 27701, pues sus más de 15 años de experiencia en el ámbito de la seguridad de la información, la ciberseguridad y la protección de datos hacen posible su implantación con las menores molestias e impacto para las operaciones diarias de la empresa.

Si necesitas implantar Normas de Ciberseguridad y Protección de datos en tu empresa, contacta con nosotros.