Protección de datos: ISO 27701

La ciberseguridad y su importancia creciente en las organizaciones

Toda organización (empresa, profesional independiente, asociación, administración pública…), que para el desarrollo de sus actividades tenga que tratar datos personales, está obligada a cumplir una serie de normas y directrices que son, para ellas, bastante desconocidas en sus aspectos singulares.

Cada vez es más complicado para estas organizaciones afirmar de forma tajante que cumplen la normativa, porque cada vez los requisitos son más complejos.

Los Procedimientos Sancionadores por vulneración de la normativa de protección de datos, que son el resultado de una investigación realizada por Autoridades de Protección de Datos, se publican completos y son de fácil consulta. Muchos de ellos, además, son objeto de noticia ya no por la prensa especializada, sino por la generalista. La sanción se puede pagar, pero recuperar el prestigio es algo más complicado.

La ISO 27701 viene a facilitar un marco de trabajo para estandarizar estos requisitos legales. ISO 27701 además proporciona un sistema de gestión que protege “de verdad” la información personal. ISO 27701 también permite a estas organizaciones demostrar que están comprometidas, no solo con el cumplimiento obligatorio sino con un compromiso más elevado.

Al tratarse de un estándar reconocido internacionalmente, ISO 27701 ofrece respuestas en lugar de preguntas. Cuando una organización manifiesta que ha sido certificada en ISO 27701, todos los implicados entienden el compromiso que tiene esa organización con una forma de hacer las cosas muy concreta, calidad y seriedad por encima de la media.

1. Breve explicación de la ISO 27701

La norma ISO 27701 forma parte de la familia de normas y guías de la Serie 27000, que es la que desarrolla las guías de referencia para la implantación, mantenimiento, auditoría y certificación de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Dentro de este conjunto, ISO 27701, publicada en 2019, viene a atender los requisitos que una organización debe cumplir para poder demostrar con garantías, que sus actividades se realizan de forma que cumplan con las condiciones necesarias para llevar a cabo una verdadera protección de datos de las personas con las que interactúa; clientes, proveedores, empleados, socios, ciudadanos en general….

La certificación a la norma ISO 27001 sirve para demostrar que hemos implantado de forma adecuada un SGSI. Esto supone un compromiso con la seguridad de la información en general, no solo la referida a protección de datos personales.

Al extender un SGSI basado en ISO 27001 a los requisitos, objetivos de control y controles específicos de la ISO 27701 ampliamos este compromiso, ahora sí, a la protección de datos personales de forma concreta.

Cuando adoptamos la norma ISO 27701, hemos implantado un Sistema de Gestión de la Privacidad de la Información (SGPI) con el fin de llevar a cabo una protección de datos personales en todos nuestros procesos de gestión.

La ISO 27701, además de implantarse, debe mantenerse, mejorarse, revisarse y, sobre todo, permite demostrar que se desempeña porque hay una entidad acreditada que lo certifica de forma independiente y sin lugar a dudas.

2. Normativa de protección de datos

En la Unión Europea, la norma que regula los tratamientos de datos personales es el ya muy conocido Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), que ha sido adaptado en cada país de la Unión con su normativa propia, en España la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Estas normas son observadas y sancionadas por las Autoridades de Control. En España, la Agencia Española de Protección de Datos (AEPD).

ISO 27701 recoge los requisitos que el RGPD y la LOPDGDD define como necesarios para cumplir sus preceptos. Además, ISO 27701 es certificable, lo que supone una demostración incuestionable de nuestro compromiso con el cumplimiento de las normas de protección de datos personales, y, además, de que nuestra gestión cotidiana se realiza garantizando la protección de datos personales.

¡Descarga la guía de Consejos de Ciberseguridad

y empieza a proteger la información de tu empresa!

3. CISO 27701 y legislación

ISO 27701 es la más prestigiosa y reconocida norma internacional certificable para demostrar que una organización ha adoptado un SGIP.

El Anexo D de la ISO 27701, es un “mapeo” o concordancia, de los requisitos de la ISO 27701 con los artículos del RGPD. Es decir:

Desde su propia concepción la ISO 27701 está alineada con los requisitos reales de cumplimiento normativo, aquellos que una organización está obligada a implantar en todas sus actuaciones cotidianas, y les hacen estar sujetos a una protección de datos personales de forma operativa y demostrable.

Asimismo, el propio RGPD en su artículo 42.1 indica que “Los Estados miembros, las autoridades de control, el Comité [CEPD] y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento […]”. También se refiere a este concepto en su Considerando 100; “A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.”, por lo visto, también en su concepción, el RGPD

Busca que las organizaciones puedan adoptar mecanismos de certificación (como lo es la ISO 27701), que permitan demostrar cumplimiento y adaptar su operativa, de forma que se protejan los derechos y libertades de las personas, en lo que se refiere a la protección de datos personales.

4. ISO 27701 y el Sello Europeo de Protección de Datos

El Comité Europeo de Protección de Datos trabaja, desde la aprobación del RGPD, en los requisitos para definir estos mecanismos de certificación de protección de datos.

Como ya se hizo anteriormente con la certificación de personas en lo referente a los Delegados de Protección de Datos, se están estableciendo los requisitos para que las organizaciones puedan certificar sus procesos y sistemas al cumplimiento normativo mediante un “Sello”.

En junio de 2019, el CEPD adoptó las “Directrices 1/2018 sobre la certificación y los criterios de certificación de conformidad con los artículos 42 y 43 del Reglamento”, que como ya hemos visto se refieren a la adopción de mecanismos de certificación equivalentes a la ISO 27701.

Posteriormente, en noviembre de ese mismo año, la Agencia Española de Protección de Datos en su sesión anual abierta dedicó una de sus ponencias a resaltar la importancia de estos mecanismos de certificación, concretamente expuso entre otros, los siguientes puntos:

• Serán expedidos por una entidad acreditada, la AEPD o el CEPD;
• Tendrán una validez de 3 años renovables si se siguen cumpliendo las condiciones;
• Podrán servir de elemento para demostrar cumplimiento sobre:
• Las obligaciones del responsable y el encargado del tratamiento,
• La privacidad desde el diseño y por defecto,
• Las obligaciones sobre medidas de seguridad,
• La realización de transferencias internacionales de datos;
• Y lo más interesante; se tendrán en cuenta en los procedimientos sancionadores de la AEPD.

Todos estos ingredientes se encuentran también en la ISO 27701, exceptuando la posibilidad de certificarse por la AEPD o el CEPD, pero sí por una entidad acreditada, lo que dota de oficialidad a la certificación en ISO 27701, que no lo olvidemos, es un estándar reconocido internacionalmente.

En 2020 el CEPD aprobó los criterios de certificación para que las entidades certificadoras puedan otorgar el Sello Europeo de Protección de Datos. Y en abril de 2021, se han ampliado las directrices de certificación 1/2018 a las que nos hemos referido antes, con una nueva publicación del CEPD.

Como se puede ver, el Sello Europeo de Protección de Datos es una realidad cercana que las Autoridades (CEPD, AEPD) van a tener muy presente. Se están tomando muchas molestias para definirlo. 

La certificación ISO 27701 permitirá la adopción de este Sello de forma natural, porque los principios de adecuación para ISO 27701, y para la normativa de protección de datos, son los mismos hasta el punto de que en la propia redacción de la ISO 27701 se han preocupado de alinear sus requisitos con el propio RGPD.

5. ISO 27701: un nuevo estándar

En 2021 hemos visto como las Autoridades de protección de datos europeas, la AEPD incluida, han acogido nuevos criterios de control a las organizaciones en lo referente a los tratamientos de datos personales.

Las guías publicadas, directrices, criterios sancionadores e inspectores son cada vez más rigurosos. Toda la documentación publicada por las Autoridades y el CEPD llevan al mismo sitio; las organizaciones son las responsables de adoptar los preceptos de cumplimiento y, sobre todo, lo deben poder demostrar. A este principio del cumplimiento normativo (RGPD art. 5.2) se le denomina responsabilidad proactiva.

No se ha contemplado en la redacción del Reglamento, un sistema único que demuestre que una organización “cumple la ley”, más allá del contenido del artículo 42 (Certificación). Demostrar el cumplimiento dependerá de los requisitos que se nos soliciten y quien lo haga. 

Si un cliente, un auditor, o una autoridad nos solicita pruebas de cumplimiento, podemos pedir un certificado de adecuación a nuestro gestor de privacidad, pero eso no demuestra que cumplimos. También podemos firmar una Declaración Responsable que diga que cumplimos, pero eso no pasa de ser una promesa, no es una evidencia.

También podemos aceptar que nos hagan una Auditoría para demostrar que nuestra organización cumple “en ese momento”. Hay que tener en cuenta que esto evidencia un cumplimiento puntual, tiene un coste económico y, sobre todo, un coste en tiempo.

ISO 27701 simplifica todo esto, no solo es un sistema preciso para adecuar nuestras actividades a la protección de la privacidad acorde con las regulaciones, sino que además permite demostrar en todo momento que nuestra entidad cumple la normativa, de forma pública y constante. ISO 27701 es ahora el estándar de los SGPI, y se convertirá en el estándar de privacidad para las propias Autoridades de protección de datos.

ISO 27701 se ha concebido desde su creación para alinear las reglas de seguridad de la información internacionales, con la protección de la privacidad, siguiendo además los contenidos de las normas legales aprobadas por la Unión Europea. Las Directrices y Guías publicadas posteriormente continúan con esa relación entre la normativa y la ISO 27701.

Contacta con nosotros para realizar la implantación de un SGSI basado en la ISO 27001. 

Disponemos de los mejores profesionales y herramientas para que la implantación sea todo un éxito y la certificación esté asegurada.