La ISO 27701:2019 sobre Seguridad de Datos Personales viene a consolidar un nivel de protección homogéneo para distintas organizaciones en materia de privacidad.
Uno de los cambios más significativos en relación con la protección de datos personales que surgió con la entrada en vigor del Reglamento (UE) 2016/679, de protección de Datos (RGPD) y su adaptación en España a la Ley Orgánica de Protección de Datos, fue la aplicación del principio de protección basado en el riesgo especifico de cada entidad, exigiendo a los responsables del tratamiento y a los encargados del tratamiento la aplicación de las medidas técnicas y organizativas adecuadas para garantizar la seguridad de la información personal que tratan.
La falta de orientación sobre esas medidas o de un listado tipificado, podía suscitar dudas y preocupación acerca de la adecuación de las medidas que se hubieran aplicado.
Máxime, si tenemos ya en cuenta que ya ha habido sanciones en materia de seguridad, siendo uno de los ejemplos más recientes el caso de la cadena hotelera Marriott, cuya propuesta de sanción por parte de la Autoridad de Control Inglesa (ICO) asciende a 99.200.396 de libras esterlinas por infringir el Reglamento General de Protección de Datos (RGPD) respecto con la aplicación de medidas de seguridad.
Hasta ahora, el estándar que se podía tener en cuenta era la ISO 27001 (Seguridad de la información), aunque dicha ISO se enfocaba a la información en general.
La nueva ISO comporta el aumento de los controles de seguridad existentes con la ISO 27001 (se trata de 263 nuevos controles), creando un sistema que permite una gestión eficaz y continuada de la privacidad dentro de una organización. Por tanto, en un único proyecto de implementación, una entidad puede implementar juntamente la ISO 27001 e ISO 27701, ya que la segunda es una extensión de la primera.
Estas medidas también son válidas para la protección de los secretos empresariales.
Por otro lado, al tener un enfoque basado en el riesgo, esta nueva ISO puede ser implementada por cualquier Responsable del Tratamiento (Data Controller), organización que trabaje en régimen de Co-responsabilidad (Joint Controllers) o Encargado del Tratamiento (Data Processor) del ámbito privado y público, ya que cada entidad deberá analizar los riesgos específicos a los que se enfrenta en relación a la protección de la información y los datos personales.
La aparición de esta ISO puede suponer un cambio significativo en el ámbito de la privacidad, pues, aunque no es obligatoria, es lo más cercano a una certificación de GDPR e indudablemente es un baremo que se podrían utilizar como indicativo de la adecuación o no de las medidas de seguridad implementadas por las empresas.
En resumen, la implementación de la ISO tendría múltiples beneficios: no solo asegura la protección de la información que la entidad maneja, sino que también proporciona una prueba eficaz en caso de inspección que garantiza que se cumplen los requisitos de privacidad aplicables, no solo válida en España, sino de manera global al ser un estándar internacional. Además, puede ser una potente herramienta para transmitir confianza a clientes y colaboradores, así como un indudable punto a favor para conseguir inversión o al realizar cualquier tipo de operación societaria (venta, fusión, etc.).
En cualquier caso, es recomendable, al menos, tener en cuenta los controles que incluye la ISO para que la entidad se acerque lo máximo posible a este estándar.
Para más información al respecto, no dudes en ponerte en contacto con nosotros.