ISO 27701, la certificación para cumplir con el Reglamento General de Protección de Datos
Si algo hemos aprendido en año y medio que llevamos de aplicación del Reglamento General de Protección de Datos (RGPD), es que cumplir con las obligaciones que nos impone esta normativa no siempre es fácil.
A pesar de lo que erróneamente se cree en muchos casos, para cumplir con el RGPD no basta con actualizar cláusulas y documentos. Por el contrario, debemos implantar un verdadero sistema de gestión de datos personales dentro de nuestra empresa, en el que participen de manera coordinada de todas las áreas de la organización.
Para ayudarnos con esta difícil tarea, el pasado mes de agosto se publicó la ISO 27701:2019, de Sistemas de Gestión de la Información de Privacidad (PIMS).
Se trata de una nueva norma que se incorpora a la familia de las ISO 27000, en materia de seguridad de la información. Sin bien, a diferencia de sus predecesoras, la ISO 27701 va un paso más allá, poniendo el foco en la información que contiene datos de carácter personal.
¿DEBERÍA MI EMPRESA IMPLANTAR LA ISO27701?
La implantación de este estándar internacional va a ayudar a las empresas a cumplir con la normativa europea de privacidad, dado que la norma ha tenido en cuenta estas nuevas exigencias (de hecho, en su Anexo D se realiza un crossover entre las cláusulas de la norma y los artículos del RGPD).
No obstante, aquellas organizaciones que deseen implantar la ISO 27701 deberán tener previamente implantado un Sistema de Gestión de Seguridad de la Información, al que tendrán que incorporar controles adicionales para proteger la privacidad de los datos personales. Asimismo, deberán incorporar en su Sistema de Gestión de la Información de Privacidad las posibles exigencias adicionales derivadas de la normativa española de protección de datos (LOPDGDD).
LA CERTIFICACIÓN COMO FORMA DE DEMOSTRAR LA RESPONSABILIDAD PROACTIVA
Muchas son las ventajas derivadas de certificar un Sistema de Gestión de la Información de Privacidad (generación de confianza en el mercado, mejora de la reputación corporativa, etc.). Pero una de las más importantes, es la posibilidad de servir como elemento valorativo del cumplimiento con la normativa de protección de datos.
Y es que no debemos olvidar que tanto el RGPD como la LOPDGDD reconocen la posibilidad de ayudar a demostrar el principio de responsabilidad proactiva a través de la adhesión a mecanismos de certificación que sean previamente aprobados.
Ahora bien, no debemos caer en el error de creer que por tener una certificación en ISO 27701 automáticamente ya estamos cumpliendo con la normativa de protección de datos. La norma nos proporciona un sistema de gestión (con sus correspondientes controles y medidas) y su certificación puede servir como elemento valorativo cualificado.
Sin embargo, es responsabilidad de la empresa garantizar que dicho sistema es efectivo, cumpliendo en el día a día con las exigencias europeas y nacionales en protección de datos.
Para más información sobre la ISO 27701, puede consultar el blog de Elece Legal.