Desde 2018, el cumplimiento de GDPR o RGPD –Reglamento General de Protección de Datos- figura en la agenda de las organizaciones, y de forma particular en la de los directores de TI y los profesionales encargados de la Seguridad de la Información.
Algunas organizaciones, tras cuatro años de entrada en vigor del Reglamento aún encuentran dificultades para garantizar el cumplimiento de GDPR. Pero existen marcos de trabajo que pueden ayudar a allanar el camino. El estándar internacional para la Seguridad de la Información, ISO 27001, tiene mucho en común con GDPR, y a diferencia del Reglamento ofrece claras instrucciones sobre cómo cumplir con los requisitos.
¿Cómo puede ISO 27001 ayudar al cumplimiento de GDPR?
ISO 27001 es un estándar de alcance internacional, diseñado para garantizar la seguridad de la información en las organizaciones, en todos los formatos o modelos en que se encuentre. Por supuesto, el alcance de ISO 27001 es mucho más amplio que el de GDPR. Lo importante es que dentro de lo que se conoce como información, ISO 27001 concede gran importancia a los datos y a la manera para asegurar su integridad, confidencialidad e incorruptibilidad.
Es importante resaltar que ISO 27001, en cuanto a protección y seguridad de datos, cubre un área muy específica. Si bien la norma ofrece un marco que facilita el cumplimiento de GDPR, la certificación por sí sola no es prueba irrefutable del cumplimiento.
Por eso es importante entender que ISO 27001 ayuda al cumplimiento del Reglamento, pero la implementación del estándar no es suficiente. Para entenderlo mejor, conviene revisar y establecer los puntos en común entre los dos estándares.
ISO 27001 y GDPR – ¿Qué tienen en común?
ISO 27001 y GDPR no son intercambiables o conmutables. Esto significa que una no reemplaza a la otra. Pero es claro que entre ambas hay puntos en común. Veamos algunos de los más relevantes:
Artículo 32 de GDPR y requisitos de ISO 27001
Muchos de los requisitos de ISO 27001, sobre políticas, procedimientos y procesos, además de los controles que conforman el Anexo A, cumplen funciones eficaces para cumplir con lo solicitado por el artículo 32 de GDPR. Veamos algunos ejemplos:
- Implementar medidas para anonimizar y cifrar datos personales.
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas y servicios de procesamiento de datos.
- Restaurar la disponibilidad y el acceso a los datos personales, de manera oportuna, en caso de incidente técnico o físico.
- Implementar procesos para probar y evaluar con determinada periodicidad las medidas técnicas y organizativas para garantizar la seguridad de procesamiento.
Gestión de Riesgos
El artículo 32 también requiere que las organizaciones identifiquen, evalúen y mitiguen los riesgos de destrucción, pérdida, alteración, divulgación no autorizada o acceso intencional deliberado por parte de personas no autorizadas a los datos personales. La gestión de riesgos es, como sabemos, también un requisito de ISO 27001.
Artículos 33 y 34 de GDPR y notificaciones de incumplimiento
ISO 27001, entre sus requisitos, solicita que las organizaciones informen sobre incidentes de Seguridad de la Información de inmediato y tomen las acciones correctivas oportunas y eficaces. Esto garantiza el cumplimiento de GDPR en lo solicitado en los artículos 33 y 34, que hablan de la obligación de notificar a las autoridades correspondientes dentro de las 72 horas posteriores a la ocurrencia de una infracción de seguridad.
Artículo 25 y la protección de datos desde el diseño
El artículo 25 del Reglamento solicita que las organizaciones implementen medidas técnicas eficaces, desde la fase de diseño de todos los proyectos que involucren gestión y tratamiento de datos, para garantizar la privacidad y la integridad. Las organizaciones deben garantizar, además, que solo se utilizará información necesaria para el propósito específico de cada proceso.
ISO 27001, por su parte, describe requisitos similares en sus cláusulas 4, 5 y 6. La cláusula 4 solicita que las organizaciones comprendan el alcance y el contexto de los datos que recopila y procesa. La cláusula 6 solicita evaluaciones de riesgo periódicas para garantizar la eficacia del Sistema de Gestión.
El cumplimiento de #GDPR es una preocupación actual para organizaciones de la Unión Europea. Aprende cómo #ISO27001 ayuda a alcanzar la conformidad #SeguridadInformación Share on XArtículo 30 y el mantenimiento de registros
Para garantizar el cumplimiento de GDPR es preciso mantener registros de las actividades de procesamientos de datos, en las condiciones solicitadas por el artículo 30. Esto incluye categorizar los datos, definir el propósito del procesamiento, describir las medidas de seguridad implementadas y las más relevantes.
De forma similar, ISO 27001 solicita a las organizaciones documentar sus procesos de seguridad, así como los resultados de sus evaluaciones de riesgos de Seguridad de la Información. Específicamente el Control A.8 solicita que se inventaríen y clasifiquen los activos de información, se asignen propietarios de esos activos y se definan procedimientos para su uso aceptable.
Artículo 28 y gestión de proveedores
La cláusula 8 de ISO 27001 pide a las organizaciones que identifiquen las acciones de procesamiento que subcontraten y solicita que esos procesos se vigilen y se mantengan bajo control. El control A.15 proporciona una orientación específica sobre las relaciones con proveedores y solicita que las organizaciones supervisen los servicios de los proveedores.
Esto resulta muy eficaz para el cumplimiento de GDPR, en especial en lo relacionado con el artículo 28, que requiere que los controladores de datos obtengan términos y garantías contractuales de sus procesadores.
¿ISO 27001 garantiza el cumplimiento de GDPR?
La implementación del estándar ISO simplifica el proceso para lograr el cumplimiento de GDPR y, de hecho, lo asegura en muchos de los artículos relevantes, entre ellos los que hemos mencionado.
Sin embargo, algunos problemas asociados con la privacidad de los datos, abordados en el capítulo 3 del Reglamento, quedan fuera. Entre ellos, podemos mencionar el consentimiento, la portabilidad de los datos, el derecho a la eliminación de la información, el derecho a la restricción del procesamiento, el derecho a oponerse y la transferencia internacional de datos personales.
Se trata, como podemos observar, de temas que tienen mayor relación con la parte procedimental de la obtención de los datos y la legalidad con la que se produce. Es natural que no sea competencia de ISO 27001 pero, sin duda, podemos afirmar que una buena parte del cumplimiento de GDPR se asegura con la implementación y certificación de ISO 27001.
Cumplir con ISO 27001 es un paso muy importante en el propósito de garantizar el cumplimiento de GDPR. Pero las organizaciones obtienen otros beneficios, sobre todo si logran automatizar y digitalizar sus Sistemas de Gestión. La Transformación Digital es el camino a seguir y la formación de los profesionales encargados desempeñará un importante papel en estos procesos.
Diplomado en Seguridad de la Información – ISO 27001
El Diplomado en Seguridad de la Información ISO/IEC 27001 es el programa más completo y con los mejores docentes y contenidos para formar profesionales expertos en la planificación, implementación, auditoría y certificación de un Sistema de Gestión de Seguridad de la Información.
Los profesionales que toman este Diplomado de excelencia, adquieren las capacidades para, además, afrontar los retos que implica el cumplimiento de GDPR, con el apoyo de la norma ISO.
Este programa ofrece una doble titulación, como experto en el estándar, pero también como auditor de un SGSI. Además, los alumnos de este Diplomado dan un importante paso para obtener la Certificación ERCA de auditores, lo que les permitirá trabajar en cualquier país de la Unión Europea y de América Latina. Es una oportunidad para proyectar tu carrera profesional. Tómala ahora.