Las normas de seguridad son generalistas, pero algunos sectores y temáticas disponen de normas específicas diseñadas para contemplar su ecosistema concreto. Este es el caso de la norma ISO/IEC 27701:2019, contemplando el amplio universo y casuística asociada a “la privacidad”. En adelante, omitiré los sufijos “2013” para ISO/IEC 27001-27002 y “2019” para ISO/IEC 27701.
ACLARACIONES SOBRE LA RELACIÓN ENTRE ISO/IEC 27001 e ISO/IEC 27701
Certificabilidad
He detectado en numerosas ocasiones cierta confusión al relacionar estas normas, dado que, siguiendo la regla de “certificabilidad” de ISO/IEC, las acabadas en “01” son certificables, pero ISO/IEC 27701 se presenta como “complementaria” de ISO/IEC 27001 desde su propio título: “Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019)”.
Ambas normas son certificables, pero con una condición. Para obtener la certificación sobre ISO/IEC 27701 una entidad debe poseer una certificación vigente sobre ISO/IEC 27001 o abordar ambas certificaciones simultáneamente. Por tanto, no es posible obtener una certificación aislada para ISO/IEC 27701. A la fecha de redacción del presente artículo, enero de 2023, no está disponible una versión de ISO/IEC 27701 alineada con las ediciones de 2022 de ISO/IEC 27001 e ISO/IEC 27002, siendo aplicables las versiones de 2013 ante la existencia de un periodo transitorio establecido entre las normas de 2013 y las de 2022.
Ámbito objetivo
Tal como indica su propio título, la norma ISO/IEC 27701 contiene los requisitos para construir y evolucionar un “Sistema de Gestión de la Privacidad de la Información”, si bien suele utilizarse el acrónimo en inglés PIMS – Privacy Information Management System), cuya definición, contenida en el punto 3.2 de la norma es: Sistema de gestión de seguridad de la información que enfoca la protección de la privacidad como potencialmente afectada por el tratamiento de datos personales”.
CUESTIONES TERMINOLÓGICAS IMPORTANTES
La norma ISO/IEC 27701 menciona el acrónimo PII – del inglés Personally Identifiable Information – y plenamente compatible con la definición de “datos personales” contenida en el artículo 4 del Reglamento (UE) 2016/679 (RGPD en adelante): «datos personales»: toda información sobre una persona física identificada o identificable.
A su vez, en la Unión Europea, el Supervisor Europeo de Protección de Datos introduce el acrónimo PIMS como “Personal Information Management System” – “Sistema de Gestión de la Información Personal”, pero, en cualquier caso, el alineamiento persiste con el ámbito objetivo de la norma ISO/IEC 27701.
Es conveniente aclarar estas cuestiones terminológicas dado que, aunque estamos tratando sobre los mismos conceptos, no podemos olvidar que la norma no está orientada únicamente al cumplimiento del RGPD sino a todas las normativas sobre protección de la privacidad que puedan existir globalmente.
DIMENSIONES DE SEGURIDAD
Dentro del ámbito de la “seguridad de la información” encontramos tres dimensiones principales: confidencialidad, integridad y disponibilidad. Tradicionalmente (incorrectamente, en mi opinión) , la privacidad estaba vinculada con la confidencialidad, pero el RGPD deja muy claras sus dimensiones en el artículo 32 – Seguridad del tratamiento- donde requiere “la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.
Queda explícito el alineamiento entre RGPD y SGSI-SGPI, máxime cuando la propia UE define la privacidad como “empoderar a las personas físicas pata tomar sus propias decisiones sobre quién puede tratar sus datos y con qué finalidades”.
APORTACIONES DE LA NORMA ISO/IEC 27701
¿Qué aporta la norma ISO/IEC 27701 a la norma ISO/IEC 27001?
Las aportaciones de la norma ISO/IEC 27701 son, en mi opinión, muy significativas dentro del modelo adoptar-adaptar-aplicar. La adopción de medidas de seguridad para la protección de datos personales es una obligación legal, por lo que “adoptar” no tiene discusión.
El valor añadido viene por la adaptación+complementación de unas medidas de seguridad generalistas a la casuística concreta de la protección de datos personales, incluyendo cuestiones tan importantes como un mapeo específico para el cumplimiento del RGPD (Anexo D de la norma), un capítulo específico para responsables de tratamiento (cap 7) y otro para encargados de tratamiento (cap 8). Asimismo, contiene extensiones concretas para ISO/IEC 27001 (cláusulas 4 y 6) e ISO/IEC 27002 (todas las cláusulas salvo la 17), con unas ampliaciones relevantes en sus guías de implementación.
¿Qué aporta la norma ISO/IEC 27701 al cumplimiento del RGPD?
Esta norma contiene previsiones para la realización de Evaluaciones de Impacto sobre Protección de Datos (EIPD), plenamente alienadas con lo requerido en el RGPD, así como previsiones sobre acuerdos de corresponsable de tratamiento, contratos de encargado de tratamiento, ejercicio de derechos, privacidad por diseño y por defecto y un etc obligado por las limitaciones de espacio en el artículo.
En relación con el RGPD, la norma ISO/IEC 27701 aporta a las organizaciones un marco de referencia relevante para el cumplimiento de las obligaciones legales emanadas de la legislación en materia de protección de datos personales, con alto valor añadido para aquellas afectadas por el RGPD y/o normativas similares vigentes en otros entornos geográficos.
¿Qué aporta la norma ISO/IEC 27701 a las organizaciones?
Esta norma, al ser certificable, aporta a las organizaciones certificadas la acreditación de un Sistema de Gestión de la Seguridad y la Privacidad, pilar importante para sustentar evidencias de cumplimiento de los marcos normativos sobre protección de datos personales y, por ende, con alto valor en el mercado. Como ejemplo, compañías como Microsoft o Google han obtenido este certificado para sus plataformas representativas.
CONCLUSIONES
Las cuestiones sobre seguridad relacionadas con la privacidad son fundamentales al ser también fundamental el derecho a la privacidad de las personas físicas, cuya protección es un requerimiento de todos los marcos normativos sobre la materia y cuyo incumplimiento conlleva sanciones altamente impactantes, no solo a nivel económico sino también reputacional. En este contexto, la disponibilidad de una norma específica sobre seguridad orientada a la privacidad y, en el caso de la UE, mapeando medidas con el RGPD, aporta un alto valor en sí misma, y su certificabilidad añade una vía de acreditación interna y externa para una organización.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.