ISO/IEC 27701, el nuevo estándar global que ayudará a proteger la privacidad.
Resumen: La ISO 27701 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad. Esta normativa se basa en los requisitos, controles y objetivos de los requisitos del Sistema de Gestión de Seguridad de la Información (SGSI). Una de las ventajas que ofrece esta nueva certificación radica en que la organización podrá compatibilizar el cumplimiento en materia de seguridad de la información y privacidad, ya que posibilita integrar la normativa en materia de protección de datos del país donde se implemente y reforzar las medidas técnicas y organizativas
Palabras Claves: Privacidad, estándar, normativa, seguridad.
Abstract: ISO 27701 specifies the requirements to establish, implement, maintain and continually improve a Privacy Information Management System. This regulation is based on the requirements, controls and objectives of the requirements of the Information Security Management System (ISMS). One of the advantages offered by this new certification is that the organization will be able to make compliance in the area of information security and privacy compatible, since it makes it possible to integrate the data protection regulations of the country where it is implemented and to reinforce technical measures. and organizational
Desarrollo:
¿Qué sabemos acerca de la privacidad de nuestra información? ya que constantemente se nos pide que ingresemos la dirección de correo electrónico, número telefónico, nombre y apellido en plataformas tecnológicas, además que algunas de estas incluso obtienen acceso a nuestras coordenadas por medio de GPS.
Cuando alguien gana acceso a nuestros datos, puede acumularlos, analizarlos y no sabemos que uso puede darles en un futuro, información compartida sin control podrían ocasionar discriminación por raza, religión o por condición de salud entre otros. Algunos casos pueden ocasionar pérdidas financieras por divulgación de datos y contraseñas relacionadas con tarjetas de crédito, débito o cuentas bancarias y la información puede quedar expuesta a personas que roben la identidad o comprometan la imagen o reputación que podrían utilizarse en extorsiones o en delitos relacionados al robo de información que comprometan la integridad de las personas.
En los Estados Unidos se utiliza el término información personal identificable el cual se abrevia como PII. El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST: National Institute of Standards and Technology) (Digitalguardian.com, 2018) proporciona la siguiente definición: PII es cualquier información que pueda usarse para distinguir o rastrear la identidad de un individuo, tal como nombre, número de seguridad social, fecha y lugar de nacimiento, apellido o registros biométricos; y cualquier otra información que pueda vincularse como correo electrónico, información médica, educativa, financiera y de empleo.
Los datos personales se consideran el equivalente europeo a PII, aunque difiere un poco con la definición anterior. El Reglamento general de protección de datos de la Unión Europea (GDPR) (AEC.es, 2018)define los datos personales de la siguiente manera:
Datos personales significa cualquier información relacionada con una persona física identificable por referencia a un identificador, tal como un nombre, un número de identificación, datos de ubicación, un identificador online, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, social o cultural de la persona natural.
Como consecuencia de la acelerada transformación digital y del creciente aumento del uso de la información personal, la protección de esta se ha convertido en una necesidad social, llevando a tener que establecerse regulaciones y leyes al respecto. Por tal motivo las obligaciones legales se han vuelto cada vez más estrictas. La protección de nuestra privacidad digital una preocupación comercial importante y se ha iniciado una nueva era de regulación y cumplimiento de la privacidad en todo el mundo. Muchas organizaciones no están preparadas actualmente, pues carecen de directivas y procedimientos para asegurar el cumplimiento de las recientes normativas de privacidad. Esto ha aumentado las quejas y multas relacionadas con la protección de datos.
Para dar orientación a nivel global, en agosto del 2019 se publicó el estándar sobre protección de la información personal, el cual forma parte de la amplia familia de normativas ISO/IEC 27000 sobre seguridad de la información. ISO/IEC 27701 (ISO.org, 2019)puede considerarse como una extensión de ISO/IEC 27001 (pmg-ssi-com, 2017) e ISO/IEC 27002. Su objetivo es proporcionar orientación sobre la protección de la privacidad, y la forma en que las organizaciones deben gestionar la información personal para aumentar la confianza y transparencia de las partes interesadas.
ISO/IEC 27701 está conformado por 8 cláusulas y 6 anexos, que incluyen controles de información de identificación personal y mapeos a normas relacionadas tales como ISO / IEC 29100:2011 Marco de Referencia para la Privacidad, ISO / IEC 27018:2019 Código de Prácticas para la Protección de la Información de Identificación Personal (PII) (Imperva.com, 2018) en la nube, ISO / IEC 2915:2017 Código de Prácticas para la Protección de la Información de Identificación Personal, y al Reglamento General de Protección de Datos de la Unión Europea.
El estándar tiene validez a nivel internacional, pero debe ser interpretado para tomar en cuenta la legislación y normativa de cada país. Es aplicable a todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro.
ISO / IEC 27701 fue desarrollado por el comité técnico ISO / IEC JTC1 / SC 27, Seguridad de la información, ciberseguridad y protección de la privacidad, que está compuesto por expertos de todo el mundo de las autoridades de protección de datos, agencias de seguridad, academia e industria. Especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de privacidad de la información (PIMS) dentro del contexto de la organización.
Referencias bibliográficas
AEC.es. (2018). Obtenido de https://dpd.aec.es/nueva-iso-iec-277012019-integracion-del-rgpd/
Digitalguardian.com. (2018). Obtenido de https://digitalguardian.com/blog/what-nist-compliance
Imperva.com. (2018). Obtenido de https://www.imperva.com/learn/data-security/personally-identifiable-information-pii/
ISO.org. (2019). Obtenido de https://www.iso.org/standard/71670.html
pmg-ssi-com. (2017). Obtenido de https://www.pmg-ssi.com/2019/09/nueva-iso-iec-277012019/