El pasado mes de agosto se publicó la ISO 27701:2019, de Sistemas de Gestión de la Información de Privacidad (PIMS). Una norma internacional certificable que puede ayudar a las organizaciones a cumplir con la normativa europea de protección de datos.

Esta norma es una extensión de las ya conocidas ISO 27001 e ISO 27002, orientadas a la implantación de Sistemas de Gestión de Seguridad de la Información. Pero, a diferencia de sus predecesoras, la nueva ISO 27701 se centra en garantizar la seguridad de la información que contenga datos personales.

Por este motivo, aquellas organizaciones que deseen certificarse en ISO 27701 deberán tener previamente implantado un Sistema de Gestión de Seguridad de la Información, e incorporar controles adicionales para proteger la privacidad de los datos personales.

Principales características

  • Alcance internacional
  • Certificable
  • Estructura de alto nivel: 8 apartados y 6 anexos
  • 263 controles en materia de privacidad

Ventajas de la ISO 27701

La ISO 27701 proporciona una serie de ventajas para aquellas organizaciones que se decidan a certificarse:

  • Proporciona un mayor control sobre los riesgos de privacidad en toda la cadena de valor de la empresa.
  • Permite establecer medidas de gestión y control de dichos riesgos de manera integrada y coordinada.
  • Mejora la reputación como empresa concienciada con la privacidad y la protección de datos personales.
  • Genera confianza en el mercado, en socios de negocio y en las personas cuyos datos personales son tratados por la empresa.
  • Puede servir como elemento valorativo para acreditar el cumplimiento con la normativa de protección de datos, en base al principio de responsabilidad proactiva.
  • Permite a empresas extranjeras, sometidas a su propia legislación nacional, acceder a nuevos mercados europeos, al incorporar en su actuación los requerimientos del Reglamento General de Protección de Datos.

La principal ventaja de esta nueva norma es que ha adaptado los estándares existentes en materia de seguridad de la información a los requisitos del Reglamento General de Protección de Datos. No obstante, deberán tenerse también en cuenta las especialidades previstas por la normativa nacional en la materia.

Sin duda, aquellas organizaciones que apuesten por certificarse en ISO 27701 tendrán mucho ganado en el ámbito de la privacidad y accountability. No obstante, no debemos olvidar que la certificación no puede asegurar ni garantizar que efectivamente la empresa cumpla con la normativa de protección de datos. Lo que sí permite es acreditar que se han adoptado mecanismos en línea con dicho cumplimiento; sirviendo como elemento valorativo cualificado en caso de una eventual inspección o procedimiento sancionador por parte de la Agencia Española de Protección de Datos.