La norma internacional ISO/IEC 27701 establece los requerimientos y brinda orientación a los responsables y encargados del tratamiento de datos personales, para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Privacidad de la Información (SGPI), como una extensión de los estándares ISO/IEC 27001 e ISO/IEC 27002.
Es importante recordar que un sistema de gestión puede definirse como el conjunto de elementos y actividades interrelacionadas para establecer metas y medios de acción para alcanzarlas, en la actualidad existen diversos sistemas de gestión para el cumplimiento de normas específicas como:
- Sistema de Gestión de la Calidad – ISO/IEC 9001
- Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001
- Sistema de Gestión de Continuidad del Negocio – ISO/IEC 22301
- Sistema de Gestión Antisoborno – ISO 37001
El estándar ISO/IEC 27701 puede ser utilizado por responsables, encargados incluyendo aquellos subcontratados para reducir los riesgos de privacidad en los tratamientos de datos personales que realizan, considerando que los requerimientos para la protección de datos personales varían dependiendo el contexto de la organización en particular en países en donde existe una ley específica en la materia, por lo que su implementación también deberá considerar la legislación local en la materia.
El documento del estándar ISO/IEC 27701 inicialmente desarrollado como ISO/IEC 27552, incluye un mapeo con ISO/IEC 27018, ISO/IEC 29151 y el Reglamento General de Protección de Datos de la Unión Europea, el estándar esta diseñado para ser una extensión de ISO/IEC 27001 por lo cuál será un requisito indispensable contar la implementación de un Sistema de Gestión de Seguridad de la Información para adoptar el ISO/IEC 27701.
Estructura
La ISO/IEC 27701 cuenta con 8 apartados, 6 anexos y 263 controles de seguridad y se encuentra disponible para su compra en la página de ISO.
Caso de México
En el caso de México desde las Recomendaciones en materia de seguridad de la datos personales publicadas en el Diario Oficial de la Federación el 30 de octubre de 2013 se recomendó la adopción de un Sistema de Gestión de Seguridad de Datos Personales que ha sido definido en el marco legal mexicano como el conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia y se publicó en 2015 la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales para orientar a los responsables y encargados su adopción, esta recomendación serviría para la construcción de los esquemas de autorregulación vinculante y de mejores prácticas.
Beneficios de implementar un SGPI
- Brinda mayores garantías de seguridad sobre los tratamientos de los datos personales.
- Define roles y responsabilidades sobre los tratamientos de datos personales.
- Establece una mejora en la gestión de contratos con los encargados el tratamiento.
- Mejora los mecanismos para la notificación de brechas de privacidad de datos personales.
- Promueve la adopción de la privacidad por diseño y por defecto en los tratamientos de datos personales.
- Facilita a los responsables el cumplimiento de las obligaciones para el ejercicio de los derechos de protección de datos personales de los titulares.
- Permite contar con un sistema de gestión alineado al GDPR.
- Mecanismo para demostrar cumplimiento ante la autoridad
- Es certificable (Art. 24 y 42 del RGDP)
- En el caso de México:
- Se puede formar un Esquema de Autorregulación Vinculante para Sector Privado o Esquema de Mejores Prácticas para Sector Público siempre que cumpla con:
No te pierdas esta serie que TodoPDP ha preparado donde se abordarán diversos temas relacionados con el estándar ISO/IEC 27701.
¡Hasta la próxima!
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.