ISO/IEC 27701 - Norma internacional para la gestión de la privacidad de la información

Data privacy

Contáctenos:

¿Desea más información?

Sí, por favor

¿Ya sabe lo que está buscando?

Solicite un presupuesto

La protección de la privacidad es cada vez más una necesidad de la sociedad en un mundo cada vez más conectado. Las nuevas regulaciones de privacidad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, introducido por los gobiernos, exigen que las empresas respondan. Las normas ISO, como ISO/IEC 27701, ayudarán a su empresa a cumplir con los requisitos y a gestionar los riesgos de privacidad relacionados con la información de identificación personal (IIP).

La necesidad de confianza y responsabilidad para la información personal está creciendo en las mentes de los clientes, consumidores y otras partes interesadas por igual.  Pero el riesgo es más amplio que el cumplimiento de la normativa. Las empresas deben tener la competencia, los procesos y los sistemas adecuados. Con el aumento del número de quejas y multas relacionadas con la privacidad y la protección de datos, parece haber una creciente necesidad de orientación.

Basándose en los requisitos de la ISO/IEC 27001, la ISO/IEC 27701 proporciona requisitos y ayuda a las empresas a gestionar los riesgos de privacidad relacionados con la información de identificación personal (IIP). También puede ayudar a las empresas a cumplir con el GDPR y otras regulaciones de protección de datos. Las dos normas pueden ser certificadas de forma integrada.  

¿Qué es la ISO/IEC 27701?

ISO/IEC 27701 especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de la privacidad de la información (SGPI). Se basa en los requisitos de la norma ISO/IEC 27001, la norma del sistema de gestión de seguridad de la información (SGSI) y el código de prácticas para los controles de seguridad de la información de la norma ISO/IEC 27002.

ISO/IEC 27701 proporciona el marco del sistema de gestión para proteger la información de identificación personal (IIP).  Abarca la forma en que las organizaciones deben gestionar la información personal y ayuda a demostrar el cumplimiento de las normas de privacidad que puedan aplicarse.

Si ha implementado ISO/IEC 27001, ISO/IEC 27701 amplía sus esfuerzos de seguridad para cubrir la gestión de la privacidad. Esto incluye el procesamiento de la IIP para demostrar el cumplimiento de las normas de protección de datos, como el GDPR.

Para las organizaciones que no disponen de un sistema de gestión de seguridad de la información conforme a la norma ISO/IEC 27001, es posible implementar las dos normas (ISO/IEC 27001 e ISO/IEC 27701) en un solo proyecto. 

¿Quién debería implementar ISO/IEC 27701?

ISO/IEC 27701 proporciona orientación a cualquier organización responsable del procesamiento de IIP (información de identificación personal) dentro de un sistema de gestión de seguridad de la información.  Las organizaciones de todos los tamaños y tipos, incluidas las empresas públicas y privadas, así como las entidades gubernamentales y otros tipos de organizaciones, pueden beneficiarse. Al proporcionar un enfoque basado en el riesgo, ayuda a las organizaciones a abordar los riesgos específicos de privacidad a los que se enfrenta, así como los riesgos a los que se enfrentan los datos personales y la privacidad. 

¿Por qué ISO/IEC 27701 es buena para mi negocio? 

Los sistemas de gestión de privacidad de la información (SGPI) ofrecen varias ventajas:

  • Aumenta la confianza en la capacidad de su empresa para gestionar la información personal, tanto de los clientes como de los empleados.
  • Da soporte para el cumplimiento con GDPR y otras regulaciones de privacidad aplicables.
  • Especifica los roles y responsabilidades dentro de su organización.
  • Mejora la competencia interna y los procesos para evitar infracciones.
  • Proporciona transparencia sobre los controles establecidos para la gestión de la privacidad.
  • Facilita los acuerdos con socios comerciales en los que el tratamiento de la información personal es mutuamente relevante.
  • Se integra fácilmente con la norma líder de seguridad de la información ISO/IEC 27001.

¿Cómo se puede utilizar la ISO/IEC 27701 para cumplir con el GDPR?

La implementación de un sistema de gestión que cumpla con las normas ISO/IEC 27701 e ISO/IEC 27001 le permitirá a su empresa cumplir con los requisitos de privacidad y seguridad de la información establecidos en GDPR, así como con otras regulaciones de protección de datos.  GDPR requiere que las organizaciones adopten medidas técnicas y organizativas apropiadas (incluyendo políticas, procedimientos y procesos) para proteger los datos personales que procesan (Según el artículo 5(2)).

ISO/IEC 27001, la norma internacional para un SGSI (sistema de gestión de seguridad de la información), proporciona un excelente punto de partida para lograr los requisitos técnicos y operativos necesarios para reducir el riesgo de una infracción.

ISO/IEC 27701 especifica los requisitos para - y proporciona orientación para establecer, implementar, mantener y mejorar continuamente - un SGPI (sistema de gestión de privacidad de la información) basado en los requisitos, objetivos de control y controles de ISO 27001, y ampliado por un conjunto de requisitos, objetivos de control y controles específicos de privacidad. Un anexo remite a GDPR e ISO/IEC 27701. Sin embargo, el estándar no es específico de GDPR.

Ambas normas ayudan a las empresas a cumplir con los requisitos de privacidad y seguridad de la información de GDPR. 

Si bien la norma ISO/IEC 27701 no aborda actualmente el mecanismo de certificación descrito por GDPR en el artículo 42, puede obtener una certificación acreditada según la norma ISO/IEC 27701 combinada con la norma ISO/IEC 27001 por una tercera parte independiente como DNV GL.

¿Cómo me puedo preparar para la certificación?

Tanto si está pensando en implementar ISO/IEC 27701 como una ampliación de su actual sistema de gestión de seguridad de la información que cumple con la norma ISO/IEC 27001 o si ya ha empezado a hacerlo, nosotros podemos ayudarle:

  • GAP Analysis para verificar su preparación para la certificación
  • Cursos de formación para ISO/IEC 27001
  • Certificación de su sistema de gestión según ISO/IEC 27001 e ISO/IEC 27701

Además, podemos ayudarle con sus necesidades de formación relacionadas con los estándares y GDPR (Reglamento General de Protección de Datos de la Unión Europea).

Para obtener la certificación, primero debe implementar un sistema de gestión eficaz que cumpla con los requisitos de las normas. Es importante que usted y su empresa se comprometan y establezcan objetivos claros de implementación y evaluación. Antes de la certificación, se recomienda que su empresa realice auditorías internas para identificar posibles vacíos. Una de las cosas más importantes a recordar es que el desarrollo, la implementación y la certificación de un sistema de gestión es un viaje continuo, la auditoría de certificación representa un elemento de un proceso de mejora continua.

Vea cómo puede comenzar el camino hacia la certificación.

Contáctenos:

¿Desea más información?

Sí, por favor

¿Ya sabe lo que está buscando?

Solicite un presupuesto

Servicios relacionados que pueden interesarle: