La certificación de los Sistemas de Gestión de la Seguridad de la Información se extiende a la protección de datos personales.
El pasado mes de agosto, una conocida empresa dedicada a la comercialización de productos de salud y cuidado personal notificó a la Agencia Española de Protección de Datos (AEPD) una brecha de seguridad que podría afectar hasta 2,6 millones de registros con datos personales que habrían quedado expuestos y publicados en la Deep web para su comercialización ilícita. La AEPD inició actuaciones de investigación para el esclarecimiento de los hechos y la posible exigencia de responsabilidad a la compañía, sin embargo, lejos de lo que se podría pensar y a pesar de que quedó acreditada la existencia de la brecha, la AEPD decidió archivar las actuaciones en atención a que la empresa había llevado a cabo un proceso de adaptación al Reglamento Europeo de Protección de Datos (RGPD), adoptando un sistema de gestión de protección de datos e implementando los controles previstos en la Norma ISO/IEC 27001. En consecuencia, no se derivó ninguna responsabilidad hacia la empresa.
A medida que aumenta el valor y el volumen de la información que tratan las organizaciones, este tipo de brechas de seguridad de la información se vuelve más frecuente. Ante estos factores de riesgo, muchas organizaciones están implantando y certificando su Sistema de Gestión de la Seguridad de la Información según la Norma ISO/IEC 27001.
En este sentido, el RGPD impone a las organizaciones la adopción de medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales que, en muchos casos, coinciden con los controles que la norma ISO/IEC 27001 propone para la seguridad de la información en general. La diferencia principal es que el RGPD – y la Ley Orgánica de Protección de Datos Personales (LOPDGDD) – son de obligado cumplimiento para todas las personas físicas y jurídicas, e imponen obligaciones específicas como son la adopción de cláusulas contractuales, el Registro de Actividades de Tratamiento, la garantía de los derechos de los interesados, etc. que, hasta ahora, no podían ser objeto de certificación. Este hueco de la certificación es el que viene a cubrir la nueva norma ISO/IEC 27701 Security Techniques for Privacy Information Management. Esta norma es una extensión de la tradicional ISO/IEC 27001 e integra, en el Sistema de Gestión de Seguridad de la Información, todos los requisitos específicos de la protección de datos previstos en el RGPD, permitiendo así a las organizaciones obtener un certificado de su cumplimiento.
Este nuevo certificado aspira a convertirse en el estándar internacional que permita a todas las organizaciones demostrar ante terceros el efectivo cumplimiento de la normativa de protección de datos personales. Además, es aplicable a todo tipo de organizaciones, tanto si actúan como responsables, como si lo hacen como encargados de los tratamientos.
En PRySMA hemos analizado la norma y podemos afirmar sin duda que las organizaciones que o bien ya se han adaptado al RGPD, o bien ya tienen implantado un SGSI según ISO 27001, tienen gran parte del recorrido ya avanzado y podrán obtener la nueva certificación sin grandes esfuerzos, pudiendo aprovechar sus enormes utilidades:
- Aumenta la confianza de tus clientes, otorgándoles la seguridad de que los servicios que prestas son acordes a la normativa de protección de datos.
- Reduce costes al mejorar la eficiencia de los procesos de tu organización, dando cumplimiento a dos cuerpos normativos certificables en un solo sistema.
- Incorpora en la gestión de los riesgos de la seguridad de la información la identificación y gestión de los riesgos específicos derivados del tratamiento de datos personales.
- Contribuye a implementar la privacidad por diseño y por defecto en los tratamientos.
- Controla la existencia de mecanismos para la notificación de brechas de privacidad.
- Aprovecha la ventaja competitiva que supone dar cuenta fácilmente frente a terceros del cumplimiento de la normativa de protección de datos, cada vez más solicitada en los pliegos de licitaciones públicas y en las homologaciones de proveedores de grandes empresas.
- Si tu organización es de carácter internacional, además afianza las transferencias de datos personales entre diferentes jurisdicciones.
Varias entidades de certificación ya han confirmado su disponibilidad para certificar esta norma, de manera que las organizaciones que adopten este estándar y certifiquen su cumplimiento se convertirán en referencias en materia de seguridad de la información y protección de datos.
En Prysma empleamos un enfoque multidisciplinar técnico-jurídico y ponemos a tu disposición un equipo de consultores experimentados que te pueden asesorar sobre cualquier cuestión relacionada y además, acompañarte durante el proceso de adaptación y certificación.