ISO 27701
En este post vamos a analizar la norma ISO 27701 que proporciona un marco para la Gestión de la Privacidad de las organizaciones. Es una norma alineada con los requisitos del Reglamento General de Protección de Datos, aunque como bien señala su Anexo D, se trata de una correspondencia indicativa siendo responsabilidad de cada organización evaluar sus obligaciones legales.
Es decir, estamos ante una norma voluntaria, y no nos encontramos ante un código de conducta de los aprobados por la vía del artículo 40 del RGPD, o ante una certificación de las descritas en el artículo 42. Es decir, no estamos hablando de un código de conducta aprobado por la autoridad competente de protección de datos o por el Comité Europeo de Protección de Datos.
En todo caso, si considero que es un instrumento normativo muy válido para poder cumplir con el Principio de Responsabilidad Proactiva, por virtud del cuál hay que estar en disposición no solo de cumplir, sino de poder demostrar el cumplimiento.
Esta norma es una extensión de dos normas, ya existentes, y con un gran recorrido, que son la ISO 27001 y la norma ISO 27002.
Para los que no conozcan estas normas, la ISO 27001 es una norma certificable que proporciona una guía para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Es decir, información y no solo datos personales. La norma establece un Anexo A, en la que se establecen los controles (las medidas) que una organización debe establecer para desarrollar un Sistema de Gestión de Seguridad de la Información (copias de seguridad, gestión de incidencias, control de acceso). Si existe dentro de estos controles, un control específico para los requisitos legales, el 18, pero se configura como un control más, y no se concede el protagonismo que debe tener una normativa tan fundamental para las organizaciones, como es la normativa de protección de datos de carácter personal.
Por otra parte, la norma ISO 27002 es una norma que desarrolla los controles establecidos en el Anexo A de la norma ISO . Esta norma no es certificable, pero es necesaria para poder desarrollar el Sistema de Gestión de Seguridad de la Información.
¿Cuáles son los puntos clave de la Norma?
Como comenté esta norma es una extensión de las normas ISO 27001 y 27002. Hasta ahora estas normas las utilizábamos en protección de datos para basarnos en un estándar de medidas de seguridad para cumplir con el artículo 32 del Reglamento Europeo, relativo a la Seguridad del Tratamiento, ya que ni el Reglamento Europeo de Protección de Datos ni nuestra Ley Orgánica actual establecen un marco de medidas, como si teníamos en el Reglamento de desarrollo de nuestra anterior Ley de Protección de Datos.
La ISO 27701, sin embargo, nos proporciona un marco especifico y concreto adaptado a los datos personales. Para esto realiza un “mapeo”, con cada una de las normas, la ISO 27001 y la ISO 27002, estableciendo donde sea necesario, matizaciones o requisitos adicionales para el Sistema de Gestión de la Privacidad. Por ejemplo, el apartado 12.3 de la norma ISO 27002 (que se corresponde con el apartado 12.3 del Anexo A de la ISO 27001), desarrolla el control relativo a las copias de seguridad. En este caso la ISO 27701 establece una guía de implementación adicional para los datos personales.
Además de este mapeo os que os he comentado se establecen unos requisitos adicionales para Responsables y Encargados del Tratamiento, establecidos respectivamente en el Anexo A y B. Ambos son Anexos normativos, es decir obligatorios. Estos anexos se centran en los requisitos de índole jurídico. Es decir, condiciones para la recogida y el tratamiento de los datos, obligaciones hacia los interesados, privacidad desde el diseño y por defecto y transferencias internacionales.
La conclusión es que es un muy buen instrumento para poder desarrollar un buen Sistema de Gestión de la Protección de Datos, porque bajo un esquema ISO tenemos procedimientos, indicadores, auditorías, y un ciclo de mejora continua, y además una relación exhaustiva de medidas de seguridad.