En nuestro objetivo principal de ir conociendo mejor de la ISO/IEC 27701, otro de los puntos importantes que debemos tratar es la relación que existe entre la certificación de esta norma y la responsabilidad proactiva.
El principio de responsabilidad proactiva se introduce con el Reglamento General de Protección de Datos (en adelante RGPD), que como ya se ha comentado, marcó el inicio de una nueva regulación y cumplimiento en materia de privacidad y protección de datos. Este principio establece la necesidad de que los responsables y encargados de tratamiento apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar, y demostrar, que el tratamiento se realiza conforme con el Reglamento.
Debemos tener aquí presente el art. 24.3 del RGPD, según el cual, la adhesión a códigos de conducta o a mecanismos de certificación, aprobados conforme a la normativa, pueden ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
Por otro lado, los Considerandos 77 y 100 del RGPD, con la finalidad de aumentar la transparencia y el cumplimiento de la normativa, indican que deberá fomentarse el establecimiento de mecanismos de certificación que permitan a los interesados evaluar con mayor rapidez el nivel de protección en los tratamientos llevados a cabo.
En esta línea, el nuevo estándar internacional contiene un conjunto de controles operativos, que permiten la conciliación de la seguridad de la información con los requisitos enumerados en la normativa regulatoria en materia de privacidad y protección de datos y que, una vez implementados a través de un Sistema de Gestión de Privacidad de la Información, y posteriormente auditados, evidencian el cumplimiento normativo, obteniendo gracias a ello una certificación de garantía de dicho cumplimiento y mejorando la reputación y la imagen de la organización en el mercado.
Para obtener la certificación en la ISO/IEC 27701, es requisito previo contar con una Sistema de Gestión de Seguridad de la Información (ISO/IEC 27001), o implementar ambas al mismo tiempo. Recordamos que la nueva normativa supone una extensión de los requisitos y directrices de la ISO/IEC 27001, centrándose en la privacidad y en la protección de datos.
La ISO/IEC 27701 es aplicable a todo tipo de organizaciones, independientemente del tamaño o sector al que pertenezca, pudiendo ser públicas o privadas, y tener o carecer de ánimo de lucro.
Por tanto, este nuevo sistema de gestión de privacidad de la información generará evidencias de cumplimiento, acorde con la obligación impuesta por el principio de responsabilidad proactiva del RGPD, refuerza en las organizaciones su compromiso con la seguridad de la información y la protección de datos conforme a la normativa vigente, constituyéndose como un reconocimiento internacional y convirtiéndose en una ventaja competitiva dentro del mercado.
- Aceptación de cookies, cookie wall y pago como alternativa: qué permite la AEPD
- ¿Cómo sé que mi empresa es un sujeto obligado de la Ley 10/2010?
- Protección de los menores en Internet: claves para garantizar sus derechos
- Contratos de outsourcing tecnológico: puntos críticos legales en España
- Transferencias internacionales de datos personales: retos y aspectos clave