%20(2).jpg)
ISO 27701: Cómo garantizar la privacidad y aumentar la confianza empresarial
¿Qué es la ISO 27701?
La protección de los datos personales es una preocupación cada vez más recurrente en la vida diaria de las personas. Después de todo, cada vez hay más aspectos de la vida cotidiana que se están digitalizando, lo que genera información recurrente sobre nuestros hábitos, preferencias y tendencias. En este escenario, brindar un servicio digital con un alto grado de confianza y controles de privacidad adecuados es un diferencial de mercado muy relevante.
Una de las formas de dar fe de este grado de madurez de los programas de privacidad es la certificación de la norma ISO 27701.
ISO, acrónimo en inglés de «Organización Internacional de Normalización», es una entidad que define estándares y normas con requisitos y procesos comunes destinados a mejorar continuamente la calidad y la seguridad de diversos productos y servicios. Por lo tanto, la ISO es una referencia mundial, que facilita los intercambios transnacionales, lo que demuestra el compromiso de las organizaciones certificadas con la calidad de los servicios y permite la optimización de los procesos y el aumento de la seguridad.
La norma ISO 27701, como extensión ¹ de la ISO 27001 (Sistema de gestión de seguridad de la información), se publicó en el año 2019. Esta extensión de privacidad ofrece una Marco - es decir, un conjunto de requisitos y controles específicos - para que las organizaciones lleven a cabo la gestión de la privacidad, con la capacidad de identificar, gestionar y proteger los datos personales. En consecuencia, se puede afirmar que una organización certificada por la ISO tiene la estructura necesaria para cumplir con los requisitos legales de la Ley General de Protección de Datos Personales (Ley núm. 13.709, «LGPD») en Brasil y del GDPR (Reglamento General de Protección de Datos) en la Unión Europea.
¿Cuáles son los requisitos y controles clave de la norma ISO 27701?
Todas las normas ISO tienen la misma estructura, dividida entre requisitos y controles. Se puede decir que los requisitos indican las obligaciones y los controles indican las medidas y prácticas para cumplir los requisitos. Cumplir tanto con los requisitos como con los controles aplicables a la organización (incluso si se adaptan al contexto) es obligatorio para lograr la certificación, ya que los elementos son complementarios.
Como extensión, los requisitos de la ISO 27701 replican varios de los requisitos de la ISO 27001, adaptándolos a la protección de datos personales. Por ejemplo, es necesario que la organización publique y mantenga un programa de gestión de la privacidad que cumpla con las leyes aplicables (como la LGPD, en el contexto brasileño) y que identifique (i) las partes interesadas en el programa (como los titulares de los datos personales); (ii) los objetivos; (iii) las políticas relacionadas; (iv) las responsabilidades de las personas involucradas, como el Controlador de Datos Personales; (v) las mejoras continuas, entre otros temas.
Los controles, establecidos en los anexos de la Norma, se separan según la posición de la organización como agente de tratamiento. Es decir, hay controles para los operadores y controles para los controladores de datos personales².
Ambos grupos de control abordan los siguientes temas:
- Condiciones para la recopilación y el procesamiento de datos personales: identificación del propósito y las bases legales del tratamiento; definición de reglas para obtener y registrar el consentimiento; evaluación del impacto de las actividades; terceros involucrados en las actividades, entre otras;
- Obligaciones de los titulares de datos personales: proceso establecido para recibir, evaluar y cumplir las solicitudes de las personas con respecto a sus datos;
- Privacidad por diseño y Privacidad por defecto: procesos para limitar las actividades de procesamiento de datos personales al mínimo necesario para lograr su propósito, incluida la eliminación de datos personales al final de las actividades de procesamiento;
- Intercambio, transferencia y divulgación de datos personales: normas para tratar la relación con otros controladores, operadores y/o subprocesadores de datos o cuando sea necesario enviar datos personales a otros países.
¿Cómo obtener la certificación?
La certificación según la norma ISO 27701 implica un proceso estructurado y requiere un compromiso por parte de la organización para obtener la certificación. Si bien los pasos pueden variar según la empresa, la centralidad de los datos personales y el tamaño y la complejidad de las actividades de la organización, el camino hacia la certificación generalmente sigue las mismas fases.
El primer paso es la concienciación: garantizar que todos los empleados y directivos sénior conozcan el valor de la protección de datos para la organización y los beneficios que aporta la certificación. Por lo tanto, es importante contar con un plan para llevar a cabo acciones formativas (por ejemplo, permitir a los empleados denunciar un incidente o solicitar el ejercicio de sus derechos como titulares); distribuir píldoras sobre el tema; y, básicamente, contar con el área de privacidad para sensibilizar a los empleados.
El siguiente paso es también uno de los controles básicos de la Norma: identificar las actividades operativas de la organización que procesan datos personales. Esta identificación, conocida popularmente como cartografía o Mapeo de datos, permite registrar el propósito, la base legal, los tipos de datos utilizados, los grupos de propietarios afectados, quiénes son los terceros involucrados y las áreas o sectores responsables de cada grupo de actividades.
Sobre la base de este mapeo, se debe realizar un análisis para identificar las brechas entre las prácticas de la empresa y los requisitos de la ISO 27701 y otras leyes aplicables (como la LGPD, en el contexto brasileño). Este análisis proporciona un diagnóstico para identificar las oportunidades de mejora y las áreas que necesitan ajustes para mitigar los riesgos y cumplir con la Norma.
Al implementar las mejoras, es interesante confiar en la política de gestión de la privacidad, mencionada anteriormente. Esta política actúa como una guía para la protección de los datos personales, ya que proporciona directrices sobre cómo deben procesarse los datos, cómo se respetan los derechos de los titulares, qué medidas de seguridad deben adoptarse y cuáles son los procedimientos para denunciar los incidentes.
Las brechas identificadas en el análisis guían los controles que se implementarán para cumplir con los requisitos de la ISO 27701. Estos controles pueden incluir la gestión del acceso, el cifrado de datos, las copias de seguridad periódicas, las pruebas de seguridad, la gestión de incidentes y otros. Es interesante implementar estos controles siguiendo un plan de acción registrado, ya que mantener la documentación de las actividades realizadas es una forma de que la organización sea responsable de la protección de datos y permite la rendición de cuentas.
Una vez implementadas las medidas para adaptar las prácticas de la organización a la ISO, se debe realizar una auditoría interna antes de auditar a la autoridad de certificación. Esta auditoría interna es un segundo momento de Análisis de brechas, lo que también nos permite verificar que el sistema de gestión cumple con la Norma y otras oportunidades de mejora. Si la organización no tiene un área o sector dedicado a realizar auditorías internas, es posible contratar a un auditor independiente. Vale la pena decir que esta etapa es un requisito obligatorio para la certificación.
Una vez que se hayan aplicado los controles, se haya realizado la auditoría y se haya establecido y ejecutado un nuevo plan de acción, la organización puede solicitar la certificación de una autoridad de certificación independiente. Este organismo realizará una auditoría externa para confirmar que el sistema de gestión de la privacidad cumple con los requisitos de la norma ISO 27701.
Clicksign es la única empresa brasileña del mercado de firma electrónica certificada por la ISO 27701
La confianza es una de valora de Clicksign, una empresa pionera en el mercado de la firma electrónica en Brasil. Respetar e invertir en la privacidad y la protección de los datos personales de nuestros usuarios es una prioridad, lo que se convirtió en el proceso de certificación ISO 27701.
Basándose en un análisis riguroso de los procesos internos y en la implementación de todos los controles requeridos por la Norma y la LGPD, Clicksign mapeó sus actividades de procesamiento de datos personales, evaluó y abordó los riesgos de privacidad involucrados en el negocio.
El proceso de certificación también generó una ganancia en la cultura de la organización, ya que, además de la formación periódica que reciben los Clicksigners, también se llevan a cabo varias actividades de sensibilización.
La certificación demuestra el compromiso de la empresa con la privacidad de nuestros usuarios y ha optimizado los controles internos, reduciendo los riesgos de sus actividades y garantizando un alto nivel de confianza.
Conclusión
La decisión sobre la certificación requiere el trabajo conjunto de varias áreas de la empresa, sin embargo, obtener la certificación ISO 27701 es una inversión, especialmente para las empresas de tecnología que valoran la seguridad, la protección de datos y la confianza de sus usuarios.
Después de todo, la certificación demuestra el compromiso innegable de la organización con la privacidad de los usuarios, ya que impone una estructura de gestión, con análisis de riesgos, participación de la alta dirección, formación periódica y mejoras continuas.
———————————————————
¹ En el contexto de las normas ISO, una extensión significa especificaciones o adaptaciones de reglas en un contexto específico. En el caso mencionado, la ISO 27701 para la privacidad está conectada a la ISO 27001 para la seguridad de la información.
² La Norma no tiene una definición particular de controlador y operador, según los conceptos legales de la LGPD. Según la legislación, el controlador es quien determina los propósitos y las formas del procesamiento de los datos personales mientras el operador lleva a cabo el procesamiento de los datos personales en nombre del controlador.
