Las empresas que ya hayan implementado en su organización la norma ISO 27001 podrán utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su compromiso con la seguridad de la información y con el cumplimiento de las leyes en materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se convertirá en una ventaja competitiva.
Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, y quieran certificarse tendrán que implementar conjuntamente la ISO 27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.
Adicionalmente, esta normativa es aplicable a todo tipo de organizaciones, sin importar su tamaño o sector al que pertenezcan, incluyendo empresas tanto de ámbito público, como privado u organizaciones gubernamentales o sin ánimo de lucro.
Si además de cumplir con la legalidad vigente, quieres reforzar la privacidad de los datos personales que maneja tu organización, utiliza las certificaciones existentes en materia de protección de la privacidad. Contribuirás a fomentar la seguridad de tus datos y reforzarás tu imagen y reputación, lo que se convertirá en un factor diferencial con respecto a la competencia.
La norma ISO/IEC 27701 se divide en cuatro apartados, dejando de lado los introductorios:
El apartado 5, que establece requisitos específicos del SGPI relacionados con la norma ISO/IEC 27001. Así, aquellos controles recogidos en la mencionada norma son ampliados, con el objetivo de proteger los datos personales manejados por la organización. Entre los aspectos más destacados, es necesario adaptar el contexto de la organización, para tener en cuenta la privacidad.
El apartado 6, que recoge una guía del SGPI relacionada con la norma ISO/IEC 27002. Ésta pretende adecuar la guía de buenas prácticas proclamada por ISO/IEC 27002 a la protección de los datos personales.
El apartado 7, complementado por el Anexo A, reúne nuevos controles que deben ser implementados por los Responsables del Tratamiento. Tales controles están destinados al cumplimiento de las obligaciones de la organización respecto a los interesados.
Por último, el apartado 8, complementado por el Anexo B, donde se agrupan los deberes que deben satisfacer los Encargados del Tratamiento.
Aquellas entidades que logren la certificación en la ISO/IEC 27701, garantizarán el cumplimiento de lo dispuesto por el RGPD. Desde UBT Legal & Compliance, ofrecemos nuestros servicios como expertos en protección de datos y Sistemas de Gestión, tanto para la implementación, como para el mantenimiento y auditoría de los SGPI.