El RGPD, (25/05/2018) regula, por primera vez la responsabilidad proactiva (ISO 27701). Provocando que las entidades queden obligadas a cumplir con las normas de protección de datos, y demostrar su cumplimiento.
A diferencia de la legislación anterior (LOPD 15/1999 y, especialmente, RD 1720/2007) no establece un catálogo de medidas cerradas para demostrar su cumplimiento. Asume el RGPD que las entidades han de ser responsables para determinar aquellas medidas que sean adecuadas para minimizar el riesgo intrínseco de los tratamientos.
La norma ISO/IEC 27701 es parte del mecanismo voluntario para que entidades acrediten frente a terceros el cumplimiento en materia de Protección de datos. Por lo tanto, tal y como informaba la Autoridad de Control Francesa (CNIL) supone que las entidades que lo certifiquen puedan “aumentar su madurez y demostrar un enfoque activo para la protección de datos personales”.
Éste estándar supone una extensión de la norma ISO 27001 del que parte. Si el estándar ISO 27001 tiene por objeto el establecimiento, implementación, mantenimiento y mejora continua del SGSI (Sistema de Gestión de Seguridad de la Información); la norma ISO 27701 entra su esfuerzo en el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Privacidad de la Información (PIMS*, por sus siglas en inglés.
El estándar ISO 27701 es aplicable a todas aquellas entidades que puedan actuar o bien como responsables del tratamiento o bien como encargadas del tratamiento, definiendo una serie de controles específicos en función del rol que ocupe.
Por lo que el Sistema de Gestión tendrá las particularidades propias del papel que desempeña la entidad en relación a la protección del derecho fundamental a la protección del dato.
El Sistema de Gestión de Privacidad en la Información, bajo los criterios establecidos del Ciclo de Deming o ciclo PDCA, supondrá un paso más, para facilitar la gestión de las obligaciones en protección de datos. Las entidades que se certifiquen, y permitiendoles acreditar frente a terceros el alineamiento con el principio de responsabilidad proactiva.
* PIMS: Privacy Information Management System.
Santiago Cruz Roldan, Director Privacidad