¿Qué es la ISO/IEC 27701?
  • Datos personales

¿Qué es la ISO/IEC 27701?

La norma internacional ISO/IEC 27701 establece los requerimientos y brinda orientación a los responsables y encargados del tratamiento de datos personales, para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Privacidad de la Información (SGPI), como una extensión de los estándares ISO/IEC 27001 e ISO/IEC 27002.

Es importante recordar que un sistema de gestión puede definirse como el conjunto de elementos y actividades interrelacionadas para establecer metas y medios de acción para alcanzarlas, en la actualidad existen diversos sistemas de gestión para el cumplimiento de normas específicas como:

  • Sistema de Gestión de la Calidad – ISO/IEC 9001
  • Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001
  • Sistema de Gestión de Continuidad del Negocio – ISO/IEC 22301
  • Sistema de Gestión Antisoborno – ISO 37001

El estándar ISO/IEC 27701 puede ser utilizado por responsables, encargados incluyendo aquellos subcontratados para reducir los riesgos de privacidad  en los tratamientos de datos personales que realizan, considerando que los requerimientos para la protección de datos personales varían dependiendo el contexto de la organización en particular en países en donde existe una ley específica en la materia, por lo que su implementación también deberá considerar la legislación local en la materia.

El documento del estándar ISO/IEC 27701 inicialmente desarrollado como ISO/IEC 27552, incluye un mapeo con ISO/IEC 27018, ISO/IEC 29151 y el Reglamento General de Protección de Datos de la Unión Europea, el estándar esta diseñado para ser una extensión de ISO/IEC 27001 por lo cuál será un requisito indispensable contar la implementación de un Sistema de Gestión de Seguridad de la Información para adoptar el ISO/IEC 27701.

Estructura

La ISO/IEC 27701 cuenta con 8 apartados, 6 anexos y 263 controles de seguridad y se encuentra disponible para su compra en la página de ISO.

Caso de México

En el caso de México desde las Recomendaciones en materia de seguridad de la datos personales publicadas en el Diario Oficial de la Federación el 30 de octubre de 2013 se recomendó la adopción de un Sistema de Gestión de Seguridad de Datos Personales que ha sido definido en el marco legal mexicano como el conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia y se publicó en 2015 la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales para orientar a los responsables y encargados su adopción, esta recomendación serviría para la construcción de los esquemas de autorregulación vinculante y de mejores prácticas.

Beneficios de implementar un SGPI

  • Brinda mayores garantías de seguridad sobre los tratamientos de los datos personales.
  • Define roles y responsabilidades sobre los tratamientos de datos personales.
  • Establece una mejora en la gestión de contratos con los encargados el tratamiento.
  • Mejora los mecanismos para la notificación de brechas de privacidad de datos personales.
  • Promueve la adopción de la privacidad por diseño y por defecto en los tratamientos de datos personales.
  • Facilita a los responsables el cumplimiento de las obligaciones para el ejercicio de los derechos de protección de datos personales de los titulares.
  • Permite contar con un sistema de gestión alineado al GDPR.
  • Mecanismo para demostrar cumplimiento ante la autoridad
  • Es certificable (Art. 24 y 42 del RGDP)
  • En el caso de México:
    • Se puede formar un Esquema de Autorregulación Vinculante para Sector Privado o Esquema de Mejores Prácticas para Sector Público siempre que cumpla con:

No te pierdas esta serie que TodoPDP ha preparado donde se abordarán diversos temas relacionados con el estándar ISO/IEC 27701.

¡Hasta la próxima!

 

 

 

MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa

Ponte en contacto conmigo.

Artículos relacionados

New data protection laws in Mexico: What’s changed in personal data security
Datos personales

New data protection laws in Mexico: What’s changed in personal data security

  • marzo 25, 2025
10 datos clave sobre el nivel de madurez en la aplicación del RGPD en 2025
Datos personales

10 datos clave sobre el nivel de madurez en la aplicación del RGPD en 2025

  • febrero 20, 2025
Neurociencias, neurotecnologías y PDP
Datos personales

Neurociencias, neurotecnologías y PDP

  • agosto 14, 2023
#AbuelitosContectad@s y la protección de sus datos personales
Datos personales

#AbuelitosContectad@s y la protección de sus datos personales

  • julio 26, 2023
Retos y oportunidades en la PDP en México
Datos personales

Retos y oportunidades en la PDP en México

  • febrero 20, 2023
#festivalciberlatam: La PDP en la familia
Conferencia DP

#festivalciberlatam: La PDP en la familia

  • septiembre 27, 2022