El estándar internacional para cumplir la protección de datos
La ISO 27701:2019 busca demostrar el cumplimiento con el RGPD por los responsables y encargados de tratamiento
Desde la aplicación del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo de 2018, se ha vivido en todo el mundo, no solo en Europa, una revolución normativa con el objetivo de adaptar la legislación de todos los países a la nueva realidad imperante en materia de protección de datos.
Esta revolución se ha extendido a todas las organizaciones que tratan nuestros datos personales, recordando aún la oleada de wasaps y emails recibidos el día 28 de mayo de ese año. Aun así, durante este periodo de tiempo hemos seguido viendo importantes casos de uso ilícito de datos personales que han traído importantes consecuencias reputacionales y económicas a los infractores como Facebook, Uber, LaLiga y un largo etcétera.
Durante varios años, la International Standard Organization (ISO) ha estado trabajando en un estándar con el que idear una solución a la gestión de la privacidad que supone el cumplimiento del RGPD. Lo conocimos como ISO/IEC 27552 y, durante la fase final de su adopción, se ha acabado nombrando como ISO/IEC 27701:2019.
Esta nueva norma supone la creación de una extensión de controles a la ISO/IEC 27001, sin llegar a crear una norma paralela a esta última. Con ello, se pretende una fácil integración de ambas normas, creando un sistema de gestión integrado de seguridad de la información y de cumplimiento de datos personales.
Esta opción adoptada constituye un acierto frente a quienes consideraban que debería tratarse la protección de datos de una forma autónoma, pero asociada a la gestión de la seguridad de la información, porque no debemos olvidar que la seguridad de la información es uno de los pilares de la protección de datos, y así lo refleja el RGPD en su artículo 5.
Aval de las autoridades
Para la creación de este nuevo estándar internacional se ha contado con la colaboración de entidades íntimamente relacionadas con el cumplimiento de la legislación de protección de datos, como es la Comisión Nacional de Informática y de las Libertades, el equivalente a la Agencia Española de Protección de Datos en Francia, y el Comité Europeo de Protección de Datos, órgano de consulta y coherencia interpretativa en materia de protección de datos de la Unión Europea, por lo que cuenta con el aval de las máximas autoridades sobre la materia.
Para cumplir el objetivo que persigue la norma, esto es, demostrar el cumplimiento con el RGPD por parte de los responsables y encargados de tratamiento, la ISO/IEC 27701:2019 presenta un mapeado entre las cláusulas y los artículos del RGPD, cubriendo los apartados más sensibles de la norma, como son: los principios, el cumplimiento con las bases de legitimación, la obligación de transparencia e información y el ejercicio de los derechos del RGPD. Asimismo, las exigencias de responsabilidad proactiva y en materia de seguridad, las transferencias internacionales de datos personales y las obligaciones adquiridas con las autoridades de control.
La ISO/IEC 27701:2019, se presenta como una norma certificable que debe aplicarse de forma integral con la ISO/IEC 27001; obteniendo así una doble certificación en materia de seguridad de la información y cumplimiento de la normativa de protección de datos que otorga confianza a las terceras partes interesadas que dependen de la organización. A su vez, está orientada a ser un modelo en el que se pueda basar un futuro mecanismo de cumplimiento, como estipula el artículo 42 del RGPD.
Ahora queda esperar la modalidad de su aplicación en España mediante la adopción de una norma UNE, y adaptar así sus contenidos a la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (Ley Orgánica 3/2018), y observar cómo se afronta una nueva era en la gestión del cumplimiento de protección de datos.
Por Juan José Gonzalo Domenech, consultor legal en UBT Legal & Compliance.