¡Comparte en redes sociales!

¿Cómo afectará la ISO 27701 a la protección de datos?

Con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), son muchas las entidades que, como responsables del tratamiento (RT), se han visto obligadas a implementar medidas de seguridad, tanto técnicas como organizativas, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas (art.24), de tal manera que se garantice una seguridad adecuada de los datos personales (art.32), incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental (Art.5).

ISO 27001

No obstante, a pesar de mencionarse en varios artículos, poco o nada se nos dice sobre qué medidas de seguridad se deben implementar para alcanzar el objetivo que marca el RGPD. Es por ello, que las organizaciones han decidido acudir a marcos y estándares internacionales de seguridad, como la ISO 27001 que, a pesar de no ser de obligado cumplimiento, se ha convertido durante estos últimos años en una guía referente para introducir e implementar sistemas de gestión sobre la seguridad de la información.

ISO 27701

Recientemente, se ha publicado la ISO 27701 sobre gestión de la información de privacidad. Este estándar se basa en los requisitos, objetivos de control y controles del estándar ISO 27001 e incluye un conjunto de requisitos de privacidad, controles y objetivos de control, de manera que durante los próximos años las organizaciones que ya cuenten con la ISO 27001 podrán apoyarse en este nuevo marco para cumplir con el marco legal.

No obstante, para demostrar el grado de cumplimiento del RGPD no basta con implementar cada uno de los controles de forma aislada, sino que se ha de realizar un análisis de riesgos y además ejecutar un plan de acción para tratar esos riesgos y así verificar el nivel de madurez de las medidas implementadas, es decir, valorar su eficacia e instaurar planes correctivos y de mejora. Y, como hemos visto, la mejor herramienta para lograr este objetivo es la ISO 27701.


Por último y en este sentido, debemos mencionar la reciente STS 543/2022 que señala que, aunque los responsables de tratamiento implementen medidas de seguridad suficientes, pueden sufrir brechas de seguridad, por lo que garantizar la seguridad de los datos no se puede traducir como una obligación de resultados, sino de medios. Esto es, que los responsables de tratamiento tienen que hacer todo lo posible para que no ocurra, a pesar de que el riesgo nunca es cero. Y, para demostrar ese grado de implicación por parte del responsable, no tendremos más remedio que acudir a normas como la ISO 27701, un sistema de gestión reconocido internacionalmente que se puede auditar y certificar, como garantía de cumplimiento del RGPD.

Avatar Of Óscar J Labella

IT Lawyer | Governance, Risk & Compliance | Privacy

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Leave a Comment