En nuestro objetivo principal de ir conociendo mejor de la ISO/IEC 27701, otro de los puntos importantes que debemos tratar es la relación que existe entre la certificación de esta norma y la responsabilidad proactiva.
El principio de responsabilidad proactiva se introduce con el Reglamento General de Protección de Datos (en adelante RGPD), que como ya se ha comentado, marcó el inicio de una nueva regulación y cumplimiento en materia de privacidad y protección de datos. Este principio establece la necesidad de que los responsables y encargados de tratamiento apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar, y demostrar, que el tratamiento se realiza conforme con el Reglamento.
Debemos tener aquí presente el art. 24.3 del RGPD, según el cual, la adhesión a códigos de conducta o a mecanismos de certificación, aprobados conforme a la normativa, pueden ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.
Por otro lado, los Considerandos 77 y 100 del RGPD, con la finalidad de aumentar la transparencia y el cumplimiento de la normativa, indican que deberá fomentarse el establecimiento de mecanismos de certificación que permitan a los interesados evaluar con mayor rapidez el nivel de protección en los tratamientos llevados a cabo.
En esta línea, el nuevo estándar internacional contiene un conjunto de controles operativos, que permiten la conciliación de la seguridad de la información con los requisitos enumerados en la normativa regulatoria en materia de privacidad y protección de datos y que, una vez implementados a través de un Sistema de Gestión de Privacidad de la Información, y posteriormente auditados, evidencian el cumplimiento normativo, obteniendo gracias a ello una certificación de garantía de dicho cumplimiento y mejorando la reputación y la imagen de la organización en el mercado.
Para obtener la certificación en la ISO/IEC 27701, es requisito previo contar con una Sistema de Gestión de Seguridad de la Información (ISO/IEC 27001), o implementar ambas al mismo tiempo. Recordamos que la nueva normativa supone una extensión de los requisitos y directrices de la ISO/IEC 27001, centrándose en la privacidad y en la protección de datos.
La ISO/IEC 27701 es aplicable a todo tipo de organizaciones, independientemente del tamaño o sector al que pertenezca, pudiendo ser públicas o privadas, y tener o carecer de ánimo de lucro.
Por tanto, este nuevo sistema de gestión de privacidad de la información generará evidencias de cumplimiento, acorde con la obligación impuesta por el principio de responsabilidad proactiva del RGPD, refuerza en las organizaciones su compromiso con la seguridad de la información y la protección de datos conforme a la normativa vigente, constituyéndose como un reconocimiento internacional y convirtiéndose en una ventaja competitiva dentro del mercado.
Ana Perez Vazquez, Consultora Legal
- ¿Cuál es el papel de la protección de datos personales en los sistemas de IA?
- Nueva obligación de contar con un procedimiento de gestión de información
- La importancia de una adecuada mitigación de riesgos en los fondos europeos
- Barclays, investigado por sospechas de errores en sus sistemas de Compliance y contra el blanqueo
- El uso de controles de huella dactilar para acceder a los estadios