El tratamiento de la información personal no es algo nuevo hoy en día, pero sí el uso exponencial que se está dando debido a la necesidad de intercambio entre departamentos de una misma empresa o más si cabe, entre diferentes organizaciones para una correcta prestación de los servicios, así como la proliferación de la utilización de almacenamiento de este tipo de información en la nube, lo que hace necesario verificar que esta información esté debidamente gestionada y protegida con el amparo de normas ISO especificamente elaboradas para este fin, como son la ISO 27701 y la ISO 27018.
ISO 27701
La norma ISO 27701 es un estándar de seguridad que surge a raíz de la publicación del Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés) el año 2018 y cuyo objetivo es implementar un Sistema de Gestión de Privacidad de la Información (SGPI) para la aplicación de políticas y controles que protejan los datos personales de la empresa acorde a la legislación y regulaciones específicas de cada país, ya sea desde el punto de vista de un Responsable del tratamiento (Data Controller) o de un Encargado del tratamiento (Data Processor).
Dicha norma requiere que las empresas que vayan a certificarse de la ISO 27701 ya se encuentren certificadas de la ISO 27001, ya que su objetivo es ayudar a las empresas a integrar un SGPI en el actual Sistema de Gestión de la Seguridad de la Información (SGSI) de la ISO 27001, cuestión que reduce el riesgo para los derechos de privacidad de las personas y para la organización al mejorar un sistema de gestión de la seguridad de la información existente. Para ello, la norma ISO 27701 extiende los requisitos de la ISO 27001 para tener en cuenta la protección de la privacidad de los interesados que potencialmente puedan verse afectados por el tratamiento de Información de Identificación Personal (en adelante IIP), además de la seguridad de la información.
La norma amplia los requerimientos sobre protección de la información en los apartados 4 al 10 de la norma ISO 27001, específicamente para el apartado 4 sobre el contexto organizacional y el apartado 6 relativo a la planificación de la gestión de riesgos, no aportando necesidades adicionales en el resto de los apartados. También amplía los requerimientos en la guía de buenas prácticas ISO 27002 sobre algunos controles especificos, concretamente sobre 31*1 donde se incluye una orientación adicional para su aplicación.
Adicionalmente, también añade requisitos especificos del SGPI en los anexos de la norma 27701, concretamente en el A (31 controles – Responsable del tratamiento de IIP) y en el B (18 controles – Encargado de tratamiento). Estos controles se encuentran divididos en los siguientes bloques:
- Condiciones para la recogida y tratamiento de IIP.
- Obligaciones hacia los interesados.
- Privacidad desde el diseño y privacidad por defecto.
- Intercambio, transferencia y comunicación de IIP.
ISO 27018
La confidencialidad es un aspecto crucial en los entornos de cloud, por ello la ISO 27018 aporta una base de buenas prácticas para la protección de IIP en la nube para organizaciones que actúan como procesadores de esta información, es decir, como ‘Encargados de tratamiento’.
La implantación de esta norma va ligada a la norma 27001, que actúa como base a la hora de especificar los requisitos propios del estándar. De hecho, partiendo de los controles de seguridad establecidos en el Anexo A de la ISO 27001, es decir, la ISO 27002, la norma añade requisitos de seguridad para la IIP sobre controles específicos. Concretamente, sobre los 114 controles*1 que propone la ISO 27002, la ISO 27018 establece requisitos adicionales sobre 15 de los controles.
A diferencia de la ISO 27701, no se aporta ningun añadido a los controles de la ISO 27001, es decir, no tiene requerimientos relativos al sistema de gestión como tal.
Adicionalmente, la norma ISO 27018 establece 25 controles divididos en los siguientes 8 principios de privacidad de la información, lo que establece un conjunto de requisitos para la protección de PII en la nube:
- Consentimiento y elección.
- Legitimización y especificación de la finalidad.
- Minimización de datos.
- Limitación del uso, conservación y divulgación.
- Apertura, transparencia y notificación.
- Responsabilidad.
- Seguridad de la información.
- Cumplimiento de la privacidad.
¿Cuáles son las principales diferencias ISO 27701 e ISO 27018?
La norma ISO 27018 se centra en la privacidad de los datos en entornos de la nube, siendo relevante para aquellas empresas que actúan como ‘Encargados de tratamiento’ y que manejan Información de Identificación Personal (IIP) en la nube. Esta norma establece controles y directrices específicos para asegurar la protección de la IIP en la nube, sumando requisitos de seguridad adicionales a los controles ya establecidos por la ISO 27001.
Por otro lado, la norma ISO 27701 amplía los requisitos de privacidad de la norma ISO 27001, con el objetivo de ayudar a las organizaciones, ya sean ‘Responsables de tratamiento’ o ‘Encargados de tratamiento’, a gestionar y proteger los datos personales de manera más efectiva. Esta norma no se limita a un entorno de nube específico, sino que se aplica a cualquier organización que maneje datos personales, proporcionando un marco para implementar un Sistema de Gestión de Privacidad de la Información (SGPI) que se integre en el Sistema de Gestión de la Seguridad de la Información (SGSI) existente.
¿Cómo podemos ayudarte en la adecuación de ISO 27701 e ISO 27018?
Desde GlobalSuite Solutions ofrecemos la ayuda y el soporte necesarios para la completa adecuación de su organización tanto de la norma ISO 27701 como de la norma ISO 27018, nuestros expertos te guiarán identificando tus necesidades específicas y proporcionándote las mejores prácticas para la gestión de la privacidad y la protección de datos. Nuestro software GlobalSuite®, por su parte, facilitará la automatización de los procesos, ofreciendo una plataforma intuitiva que te permitirá integrar y gestionar todos tus sistemas de gestión de la seguridad y privacidad de la información de manera eficiente y efectiva. De esta manera, ayudamos a tu organización a garantizar la conformidad con las normas, minimizando riesgos, optimizando tus recursos para ayudarte a obtener así las certificaciones correspondientes.
¡Contacta con nosotros hoy mismo y lleva la seguridad y privacidad de tu información al siguiente nivel!