La norma ISO27701 para gestión de privacidad de la información

La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

Capítulo 7

En el tercer bloque nos centramos en controles específicos que afectan a los responsables de tratamiento que son:

Condiciones para la recogida y tratamiento de datos personales
Obligaciones hacia los interesados
Privacidad desde el diseño y privacidad por defecto
Intercambio, transferencia y comunicación de IIP

De todo ello se derivan controles que dan cobertura a los aspectos contemplados en el Reglamento Europeo de Protección de Datos de Carácter Personal, tales como el ciclo de vida de los datos captación, conservación y destrucción, las relaciones con partes interesadas (clientes y autoridades), aspectos en el desarrollo de aplicaciones y entornos, y finalmente la manipulación de estos datos durante sus operaciones y mantenimiento.

Todo ello bajo el prisma del responsable de tratamiento, figura que supone la persona física o jurídica que determine los fines y medios del tratamiento.

Capítulo 8

En el cuarto bloque se repiten los controles del bloque anterior pero esta vez centrados en la figura del encargado de tratamiento. Encargado de tratamiento que entendemos como la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

Con todo esto esperamos haberles hecho un primer acercamiento a la Norma ISO27701. En futuros artículos profundizaremos en aspectos con el fin de proporcionar una guía de referencia para su implantación y gestión.

O si lo prefieren siempre pueden contar con el asesoramiento profesional de TotalRisk.

Artículo de Juanjo Alemany