El estándar ISO/IEC 29100 Privacy framework establece algunas definiciones relevantes que se incluyen en el ISO/IEC 27701 como son:
- Información de identificación personal en inglés Personally Identificable Information (PII) definida como cualquier información que se pueda usar para identificar al interesado o que podría estar directa o indirectamente vinculada a éste. En el marco legal mexicano se denomina dato personal que se define en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) como cualquier información concerniente a una persona física identificada o identificable mientras que en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) esta definido como cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
- Responsable en inglés PII controller quien determina los propósitos y los medios para procesar la información de identificación personal. La LFPDPPP define a esta figura como la persona física o moral de carácter privado que decide sobre el tratamiento de datos personales y en el caso de la LGPDPPSO considera a los sujetos obligados que deciden sobre el tratamiento de datos personales.
- Encargado en inglés PII processor que procesa información de identificación personal en nombre y de acuerdo a las instrucciones del responsable. La LFPDPPP establece al encargado como la persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable y la LGPDPPSO define esta figura como la persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable.
- Terceras partes en inglés Third parties que corresponden a aquellas partes interesadas diferentes del interesado, responsable y encargado. La LFPDPPP cuenta con la definición de tercero como la persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos y la LGPDPPSO define esta figura como la persona distinta del titular, del responsable o del encargado.
Por su parte el estándar ISO/IEC 27701 establece dos términos de gran relevancia el corresponsable del tratamiento y la definición del Sistema de Gestión de Privacidad de la Información (SGPI) que a continuación, se presentan:
- Corresponsable del tratamiento en inglés Joint PII Controller que se define como el responsable que determina los propósitos y medios del procesamiento de información de identificación personal conjuntamente con uno o más responsables de PII, esta figura también se encuentra definida en el Reglamento General de Protección de Datos (RGPD) cuando dos o mas responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento.
- Sistema de Gestión de Privacidad de la Información en inglés Privacy Information Management System (PIMS) se define como un Sistema de Gestión de Seguridad de la Información que aborda la protección de la privacidad cuando se realiza procesamiento de información de identificación personal. En el marco mexicano existe la figura de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) que se define como sistema de gestión general para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales en función del riesgo de los activos y de los principios básicos de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la Ley, su Reglamento, normatividad secundaria y cualquier otro principio que la buena práctica internacional estipule en la materia. La LGPDPPSO de forma específica define un sistema de gestión como un conjunto de elementos y actividades interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto en la presente Ley y las demás disposiciones que le resulten aplicables en la materia.
Conocer los principales términos y conceptos permite un mejor entendimiento de lo establecido en la norma ISO/IEC 27701, es importante mencionar que adicional a estas definiciones deberán considerarse aquellas que el marco en materia de protección de datos personales aplicable establezca.
No te pierdas las siguientes entradas de TodoPDP y conoce más detalles de la norma ISO/IEC 27701.
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.