miércoles, 29 de diciembre de 2021

Los Sistemas de Gestión de Privacidad de la Información como extensión de un Sistema de Gestión de Seguridad de la Información: La ISO27701:2019

La ISO 27701 es el estándar que especifica y provee la guía de implementación de un Sistema de Gestión de Privacidad de la Información (en adelante, SGPI) en forma de una extensión de los Sistemas de Gestión de Seguridad de la Información (en adelante, SGSI) establecidos en el estándar ISO27001.

Este artículo pretende ser una referencia rápida, no exhaustiva, a los requerimientos necesarios para adaptar los SGSI implementados para convertirlos en un SGPI y cubrir así los requerimientos del REGLAMENTO (UE) 2016/679, más conocido como: Reglamento General de Protección de Datos (en adelante, RGPD).

Dentro del estándar ISO27701 se disponen dos tipos de adaptaciones, en función del rol desempeñado por la organización que realiza el tratamiento de los datos de carácter personal:

  • Responsables de los tratamientos: quienes son responsables de los datos y de sus tratamientos.
  • Encargados de los tratamientos: quienes tratan los datos por cuenta de un responsable. También se incluye a los sub-encargados de los tratamientos.

Los aspectos para tener en cuenta

Con tal de poder realizar las adaptaciones necesarias en los SGSI para dotarlos de su extensión en forma de SGPIs los Responsables, Encargados y Sub-encargados de los tratamientos, deberían focalizarse en los siguientes aspectos:

  • Condiciones de recolección y procesamiento de los datos: para asegurar que los tratamientos que se están llevando a cabo son legítimos y acordes a la normativa.
  • Obligaciones en relación con los datos de carácter personal: para asegurar que el personal responsable de los tratamientos de los datos de carácter personal reciba la información necesaria sobre el procesamiento de dichos datos, así como para cumplir con cualquier otra obligación relacionada.
  • Privacidad desde el diseño y por defecto: para asegurar que los procesos y sistemas que intervienen en el tratamiento de los datos de carácter personal se encuentran diseñados de tal manera que la recogida y el uso de los datos se encuentra limitada únicamente a lo necesario y para el propósito concreto. Esto incluye: uso, divulgación, retención, transmisión y borrado.
  • Compartición de datos de carácter personal, transferencia y divulgación: para determinar si los datos de carácter personal pueden ser compartidos, transferidos o divulgados incluidos a otros países o a otros terceros.

Cabe destacar que, si bien la implementación de un SGSI/SGPI es totalmente opcional, no lo es así la aplicación de la normativa europea. Es decir, que una compañía puede elegir si implementa los requerimientos del RGPD mediante un SGPI o mediante otros procedimientos válidos.

De igual forma, para disponer de un SGPI funcional no hace falta implementar todos los controles que se mencionarán a continuación, pero en caso de no implementarlos, se debería justificar su exclusión.

Los requisitos del Responsable del tratamiento

Como Responsables del tratamiento, las compañías deberían focalizarse en los siguientes aspectos:

Condiciones de recolección y procesamiento

  • Identificación y documentación del propósito del tratamiento para los cuales los datos de carácter personal van a ser utilizados.
  • Identificación de la legitimación que autoriza al tratamiento de los datos.
  • Determinación de cuándo y cómo debe ser obtenido el consentimiento de los interesados.
  • Obtención y custodia del consentimiento de los interesados según los procedimientos establecidos.
  • Realización de una evaluación de impacto de privacidad siempre que se realicen nuevos tratamientos o modificaciones en los ya existentes.
  • Contratación adecuada de los encargados del tratamiento, que procesen los datos por cuenta del encargado.
  • Determinación de las responsabilidades compartidas con los encargados.
  • Determinación y retención de las evidencias que soporten el cumplimiento de las obligaciones establecidas en el RGPD.

Obligaciones en relación con los datos de carácter personal

  • Determinación, cumplimiento y documentación de las obligaciones legales, regulatorias y del propio negocio en relación con el procesado de los datos.
  • Determinación y documentación de la información necesaria que se debe proporcionar a los responsables de los tratamientos en relación con el procesado de los datos y del tiempo que los pueden tratar.
  • Provisión de una información clara y entendible que identifique el responsable de los tratamientos de datos y describa el tipo de procesamiento que se realiza.
  • Implementación de las políticas, procedimientos y mecanismos para que los responsables puedan cumplir con los derechos de los interesados: acceso, rectificación, supresión, oposición , portabilidad y limitación al tratamiento. 
  • Implementación de los mecanismos de provisión de información a terceros sobre cualquier modificación aplicable al tratamiento de los datos que tienen compartidos.
  • Disposición del registro de actividades del tratamiento.
  • Implementación de las políticas, procedimientos y mecanismos de respuesta a los derechos de los interesados.
  • Disposición de mecanismos para identificar y llevar a cabo decisiones automatizadas, así como la respuesta a las revisiones que puedan solicitar los interesados como resultado de dichas decisiones.

Privacidad desde el diseño y por defecto

  • Limitación de la cantidad de datos recogidos a los estrictamente necesarios.
  • Limitación al tratamiento de datos adecuados, relevantes y necesarios para los propósitos establecidos.
  • Aseguramiento de la precisión y la calidad de los datos a tratar.
  • Determinación y documentación de los objetivos de minimización de datos.
  • Determinación de los mecanismos diseñados para la protección de los archivos temporales.
  • Determinación de los periodos de retención de los datos.
  • Documentación de las políticas, procedimientos y mecanismos para la eliminación de datos.
  • Determinación de los mecanismos de control para el aseguramiento de la protección de los datos que son enviados a través de redes de comunicaciones.

Compartición de datos de carácter personal, transferencia y divulgación

  • Identificación y documentación de las bases relevantes que sustenten las transferencias de los datos a terceros.
  • Identificación y documentación del listado de terceros y países a los que se pueden realizar transferencias.
  • Documentación de las transferencias realizadas a terceros para asegurar que dichos terceros cooperarán en un futuro en caso de solicitudes relacionadas con las obligaciones de los responsables.
  • Documentación de las divulgaciones de datos realizadas a terceros, incluyendo a quién se han divulgado y en qué momento.

Los requisitos del Encargado del tratamiento

Como Responsables del tratamiento, las compañías deberían focalizarse en los siguientes aspectos:

Condiciones de recolección y procesamiento

  • Aseguramiento de la disposición de un contrato con el responsable del tratamiento que garantice que se cumplen las obligaciones en relación con el tratamiento de los datos.
  • Aseguramiento de que s realiza el tratamiento de los datos únicamente para los propósitos establecidos y bajo las instrucciones del responsable del tratamiento.
  • Aseguramiento de que no se utilizan los datos de carácter personal tratados por cuenta de un responsable con objetivos de márquetin y publicidad, salvo que así se encuentre recogido en el acuerdo con el responsable del tratamiento y se haya notificado a los interesados al recabar los consentimientos.
  • Comunicación al responsable del tratamiento, cuando se detecte que una instrucción dada por el responsable del tratamiento infringe la legislación y/o la normativa vigente.
  • Aseguramiento al responsable del tratamiento de que se da cumplimiento a las obligaciones.
  • Determinación y documentación de los registros que demuestren las obligaciones contraídas y especificadas en el contrato con el responsable del tratamiento.

Obligaciones en relación con los datos de carácter personal

  • Provisión de los mecanismos necesarios para que el responsable de los tratamiento pueda cumplir con sus obligaciones.

Privacidad desde el diseño y por defecto

  • Aseguramiento del borrado de los ficheros temporales creados para realizar el tratamiento de los datos, siguiendo los procedimientos establecidos y respetando los tiempos formalizados.
  • Documentación de las política de devolución, transferencia y/o borrado de los datos de carácter personal y provisión para llevarla a cabo de una forma segura.
  • Disposición de los mecanismos necesarios para la transmisión de los datos a través de redes de comunicaciones con los controles que aseguren que la información llega al destinatario requerido.

Compartición de datos de carácter personal, transferencia y divulgación

  • Documentación de las transferencias realizadas a terceros para asegurar que dichos terceros cooperarán en un futuro en caso de solicitudes relacionadas con las obligaciones de los responsables.
  • Identificación y documentación del listado de terceros y países a los que se pueden realizar transferencias.
  • Documentación de las divulgaciones de datos realizadas a terceros, incluyendo a quién se han divulgado y en qué momento.
  • Notificación al responsable del tratamiento de cualquier requerimiento legalmente vinculante para la divulgación de los datos de carácter personal (por ejemplo, por un requerimiento judicial).
  • Rechazo de cualquier solicitud de divulgación que no sea legalmente vinculante.
  • Notificación al responsable del tratamiento de cualquier subcontratación que intervenga en el tratamiento de los datos, así como de cualquier cambio que se produzca en la asignación de dichas subcontrataciones.
  • Habilitación de uso de subcontratación para el tratamiento de los datos por parte del responsable del tratamiento únicamente en caso de existir un acuerdo con este último.

Conclusión

Tal y como se puede observar, la implementación de un SGSI facilita la posibilidad de disponer de un SGPI que brinde las garantías necesarias de cumplimiento de la normativa vigente. Adicionalmente, la disposición de estos sistemas de gestión facilita la vida a las organizaciones que los tienen implementados para alcanzar el cumplimiento de los requerimientos legales con un esfuerzo significativamente menor.

Referencias

International Organization for Standardization. (8 de 2019). ISO - ISO/IEC 27701 — Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines.
International Organization for Standardization. (24 de 11 de 2020). ISO - ISO/IEC 27001 — Information security management. Obtenido de https://www.iso.org/isoiec-27001-information-security.html


Autor: José A. Prieto - CISA, ISO 27001 L.A., ISO 22301 L.A., SFPC, CDPSE
Dpto. Consultoría