Blog Gestión de Riesgos | Pirani

Conoce la ISO/IEC 27701 de gestión de privacidad de la información

Escrito por Mónica María Jiménez | febrero 22, 2024

Actualmente, la información de identificación personal (IPP) se ha convertido en un elemento clave para el funcionamiento de las organizaciones. Por eso, cada vez es más importante gestionar su privacidad para así poder garantizar los derechos de los usuarios interesados. 

La norma ISO/IEC 27701, publicada en el año 2019, es una herramienta de gran ayuda para una adecuada gestión y protección de la privacidad de los datos de una organización.

En este artículo podrás conocer un poco más sobre este estándar internacional: de qué se trata, cuál es su estructura, los beneficios de implementarlo, cómo se relaciona con la norma ISO/IEC 27001 y qué aspectos debes tener en cuenta para su implementación en tu organización. 

Sobre la ISO/IEC 27701

Esta norma, publicada por la Organización Internacional de Normalización (ISO), establece los requisitos para que las organizaciones gestionen adecuadamente la privacidad de la información de identificación personal, también llamada información personal identificable, por medio de la implementación de un Sistema de Gestión de Privacidad de la Información (SGPI).

En otras palabras, ISO/IEC 27701 contiene las pautas que deben seguir los responsables y encargados del tratamiento de datos personales para establecer, implementar, mantener y mejorar continuamente un SGPI en organizaciones de todo tipo de industrias y tamaños con el fin de lograr un mayor nivel de seguridad, confidencialidad, integridad y disponibilidad de los sistemas de información que manejan datos de identificación personal. 

Es importante mencionar que este estándar fue diseñado como una extensión de la norma ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información) y la ISO/IEC 27002 (Controles de Seguridad de la Información), es decir, amplía lo dispuesto en estas dos normas y sirve para mejorarlas para fortalecer la seguridad de la IIP en los sistemas de las entidades. 

Además, es certificable y permite a quienes la implementen dar cumplimiento al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a normativas similares de privacidad de datos en diferentes jurisdicciones, por ejemplo, en México a la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (sector público) o la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sector privado).

En cuanto a su estructura, la ISO/IEC 27701 incluye 8 cláusulas, 6 anexos y 263 controles en materia de seguridad. 

Las 8 cláusulas son:

  1. Alcance.
  2. Normativas de referencia.
  3. Términos, definiciones y abreviaturas.
  4. Requisitos generales.
  5. Requisitos específicos SGPI - ISO 27001.
  6. Requisitos específicos SGPI - ISO 27002.
  7. Medidas adicionales para los responsables.
  8. Medidas adicionales para los encargados.

Los anexos hay dos normativos (A y B) y cuatro informativos (C, D, E y F) y son:

Anexo A: Objetivos de control y controles específicos para los responsables.

Anexo B: Objetivos de control y controles específicos para los encargados.

Anexo C: Mapeo ISO 27701 - ISO 29100.

Anexo D: Mapeo ISO 27701 - GDPR (RGPD).

Anexo E: Mapeo ISO 27701 - ISO 27018 e ISO 29151.

Anexo F: Cómo aplicar ISO 27701 con ISO 27001 e ISO 27002. 

Beneficios de implementar la ISO/IEC 27701 

Más allá de orientar a los responsables y encargados del tratamiento de datos personales para una correcta gestión de la privacidad a través de un SGPI, esta norma ofrece otras ventajas o beneficios destacados a las organizaciones que la implementan, por ejemplo:

  • Mayor protección de la información de identificación personal (IIP) que manejan al poder garantizar su seguridad y confidencialidad.
  • Identificación, evaluación y mitigación de los riesgos relacionados con la recolección, mantenimiento y procesamiento de la IIP como puede ser el robo de datos, la pérdida o la violación de la confidencialidad. 
  • Tener claridad sobre las funciones y responsabilidades en seguridad y privacidad de la información dentro de la organización.
  • Mejorar la gestión de los contratos con el personal responsable y encargado del tratamiento de la IIP.
  • Generar confianza en clientes, empleados y terceros con respecto a la capacidad que tiene la empresa para gestionar, proteger y mantener la integridad de la información personal. Esto también ayuda a fortalecer las relaciones comerciales en un entorno que cada vez es más complejo.
  • Permitir a los propietarios de la información personal hacer valer sus derechos sobre esta.
  • Mejorar la eficiencia operativa con respecto al manejo de los datos personales, disminuir los errores y optimizar la gestión de la privacidad. Igualmente, promueve la adopción de la privacidad por diseño y por defecto en el tratamiento de datos.
  • Proteger la reputación de la organización, aumentar la satisfacción y la fidelidad de los clientes.
  • Tener una ventaja competitiva con respecto a los competidores. La gestión de la privacidad de la información se convierte en un activo estratégico que puede favorecer el éxito de la empresa.

Relación entre ISO 27701 e ISO 27001

Como se mencionó anteriormente, la ISO/IEC 27701 es una extensión de la ISO/IEC 27001, por eso están muy relacionadas. Al implementar un Sistema de Gestión de Privacidad de la Información (SGPI) las organizaciones amplían el alcance de su Sistema de Gestión de Seguridad de la Información (SGSI), es decir, incluyen prácticas y controles específicos para garantizar la protección y privacidad de los datos personales, así como para cumplir regulaciones sobre esto. 

Si en tu organización ya tienen implementado un SGSI pueden complementarlo y robustecerlo a través de un SGPI, que sin duda les ayudará a dar un manejo ético y seguro a toda la información de identificación personal que recolectan. 

Implementación de un SGPI

Para implementar un adecuado Sistema de Gestión de Privacidad de la Información (SGPI), según lo propuesto por la norma, es clave tener en cuenta aspectos como:

  1. Alcance del SGPI.
  2. Evaluación de riesgos de privacidad de la información.
  3. Políticas y procedimientos.
  4. Roles y responsabilidades.
  5. Controles de privacidad.
  6. Monitoreo y mejora continua.
  7. Formación y concientización. 

¿De qué se tratan cada uno de estos? Sobre este tema te contaremos en un próximo blog Pirani. ¡Espéralo!

 
Ver post completo