El estándar ISO/IEC 27701 cuenta 6 anexos, dos de ellos normativos (Anexos A y B) y cuatro informativos (Anexos C, D, E y F).
El Anexo A presenta una tabla con 4 objetivos de control y 31 controles para los responsables del tratamiento de datos personales, que incluyen:
- Condiciones para la recolección y el tratamiento de datos personales.
- Obligaciones con los interesados (titulares).
- Privacidad por diseño y privacidad por defecto.
- Intercambio de datos personales, transferencia y divulgación.
El Anexo B presenta una tabla con 4 objetivos de control y 18 controles para los encargados del tratamiento, que incluyen:
- Condiciones para la recolección y el tratamiento de datos personales.
- Obligaciones con los interesados (titulares).
- Privacidad por diseño y privacidad por defecto.
- Intercambio de datos personales, transferencia y divulgación.
El Anexo C presenta una tabla que incluye el mapeo entre ISO/IEC 27701 y el estándar ISO/IEC 29100 Privacy Framework.
El Anexo D presenta una tabla que mapea los artículos del Reglamento General de Protección de Datos y el estándar ISO/IEC 27701.
En este mapeo se consideran los principios, la obligación de transparencia e información, el ejercicio de los derechos, la notificación a la autoridad de control, la designación del oficial de protección de datos, la evaluación de impacto, la responsabilidad proactiva, las medidas de seguridad y las transferencias de datos personales.
El Anexo E incluye una tabla que mapea los estándares ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC 29151 Code of practice for personally identifiable information protection y el ISO/IEC 27701.
El Anexo F: se indican las cláusulas y actuaciones que se deben considerar para integrar la gestión de la privacidad dentro de una certificación o norma ISO/IEC 27001 Information security management systems — Requirements.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.