Nuevo estándar ISO para certificar el cumplimiento en protección de datos

Hace ya más de un año que se aprobó el reglamento europeo de protección de datos (RGPD) y desde entonces se ha ido adaptando la legislación de los estados miembros para cumplir con las nuevas exigencias normativas.

En España esa adaptación llegó con la entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y mediante la publicación por parte de la AEPD de diferentes guías e informes para hacernos a todos más fácil el cumplimiento de tantas novedades legales.

Pero ahí no se queda todo, sino que adicionalmente a esta regularización que se ha ido llevando a cabo en cada uno de los estados miembros, la International Organization for Standarization (ISO) y la International Electrotechnical Commission (IEC) estuvieron trabajando para crear un estándar para la gestión de la privacidad que implica el cumplimiento del RGPD. Dicho estándar fue finalmente aprobado el pasado 6 de agosto de 2019 con el nombre de ISO/IEC 27701:2019 pues nace como una extensión de la ISO 27001, el estándar para la seguridad de la información. Es decir, se integran ambas normas, creando un sistema de gestión de seguridad de la información y de cumplimiento de la normativa relativa a los datos personales.

Antes de entrar en materia habrá que tener claro en qué consiste el Sistema de Gestión de la Seguridad de la Información (SGSI). Se trata de un conjunto de políticas y procedimientos que normalizan la gestión de un determinado ámbito de la organización o de uno o varios de sus procesos de negocio.

Dentro de estos SGSI se encuentra la ISO 27001, la cual es una norma de gestión, es decir, que define cómo ejecutar un sistema planificando, implementando, supervisando, revisando y mejorando la seguridad de la información a través de objetivos y medidas y mediante la realización de auditorías internas, entre otras cosas.

En este sentido, y dado que la ISO 27001 no puede abarcar todas las materias posibles pues se haría muy extensa y sería difícil conseguir certificar el cumplimiento de toda la seguridad de la información en todos los ámbitos posibles de nuestra organización surgen otras normas ISO que desarrollan la anterior.

Y aquí entra la ISO 27701, la cual indica requisitos especiales para mantener y mejorar el Sistema de Gestión de Protección de Datos (PIMS por sus siglas en inglés). Este sistema no pretende que cada organización adopte todos los protocolos de seguridad de todas las situaciones posibles, sino que las empresas entiendan por qué tratan información e implementen una serie de controles para realizar un tratamiento correcto de dicha información.

Por tanto, las empresas que quieren estandarizar su tratamiento de datos conforme a la ISO 27701 tendrán que:

  • Realizar una evaluación de las posibles brechas en la seguridad de los datos y elaborar un plan de acción contra esas brechas.
  • Tener claro qué datos recopila la organización, cómo se usan y cómo se comparten.
  • Saber distinguir cuándo la organización es responsable y cuándo es encargada del tratamiento.
  • Revisar y mantener actualizadas las políticas de privacidad para asegurarse de que abarcan todas las necesidades de la empresa.
  • Planificar e implementar una protección de datos desde el diseño y por defecto.

En resumidas cuentas, los objetivos de la ISO 27701, son los de proporcionar orientación sobre la gestión de la información personal de que disponen las organizaciones y ayudar a demostrar que se cumple con la normativa de protección de datos por parte de los responsables y encargados de tratamiento.

La ISO 27701 cubre las partes más importantes de la normativa como son los principios del tratamiento, las bases de legitimación, la obligación de transparencia e información, el ejercicio de derechos, la responsabilidad proactiva, las transferencias internacionales de datos y las obligaciones adquiridas con las autoridades de control, en nuestro caso la AEPD.

Además, cumplir con este estándar supondrá numerosos beneficios pues las empresas que lo implementen tendrán evidencia documental de que cumplen con la normativa de protección de datos y consecuentemente esto generará confianza en sus clientes y facilitará acuerdos comerciales con partners al aclarar los roles y responsabilidades dentro de la propia organización con un método de tratamiento de datos certificado.

Y esto no se queda ahí, pues gracias a esta certificación, más empresas adaptarán a la normativa su procesamiento de datos. Esto es así pues cuando una organización con quien otra mantiene relaciones comerciales quiera estandarizar sus procedimientos y le solicite firmar un contrato, proporcionarle información, o mejorar su cumplimiento en la materia, ésta tendrá que ponerse las pilas y regularizar su propia compañía.

Por todo ello, sin importar el tamaño de la organización, parece que certificarse con la ISO 27701 sería un paso interesante para dar por parte de todas las empresas, sobre todo en el momento en el que entramos a hablar de compañías que tratan grandes volúmenes de datos o información sensible de los interesados.

Lo único que nos queda ya es esperar la modalidad española de este estándar mediante la adopción de una norma UNE que contenga también las especificaciones y particularidades de la LOPDGDD y esperar la llegada de una era en la que el cumplimiento de la protección de datos sea un must en nuestra vida.

¿Qué normativa hay que tener en cuenta cuando se habla de protección de datos?

Con la entrada en vigor del reglamento europeo de protección de datos y de la nueva ley orgánica española de protección de datos, estaría cubierta gran parte de la normativa vigente en materia de protección de datos, pero no sería suficiente para englobarla toda.

Por tanto, para tratar de abarcar lo máximo posible, habría que tener en cuenta:

Sin embargo, con esto no estaría todo pues existen numerosas y variadas disposiciones legales y casi todas ellas hacen referencia en algún que otro apartado, capítulo o artículo, a la normativa vigente en materia de protección de datos. Esto supone, por tanto, que se deba hacer un examen exhaustivo de la materia para cada caso concreto.

Los datos personales como derecho fundamental en la Constitución Española

Antes de entrar en materia, hay que entender la protección de datos desde su configuración como un Derecho Fundamental. No es algo que haya surgido ahora, ni es una cosa pasajera, una moda, u otra de esas tonterías que se inventan para hacernos perder el tiempo.

En primer lugar, ¿qué datos identifican a una persona? Pues desde el nombre y apellidos, DNI, número de la seguridad social, fecha de nacimiento, lugar de residencia, correo electrónico, número de teléfono, número de matrícula, firma, huella dactilar, imagen, estado civil, número de hijos, raza, datos de salud, afiliación sindical… hasta un sinfín de datos más que permiten su determinación mediante un elemento identificador.

Pero, si yo no quiero que sepan mis datos me basta con no darlos y, en el caso contrario, si los doy es porque quiero que los conozcan, ¿no?

En la actualidad, rara es la actividad que realizamos o el servicio que contratamos sin facilitar datos personales. Si abres una cuenta en el banco, te piden tus datos, cuando solicitas una factura, te piden tus datos, cuando compras algo por internet, te piden tus datos, si te matriculas en cualquier curso, te piden tus datos, si viajas, te piden tus datos, si buscas trabajo, te piden tus datos, si vas al médico, te piden tus datos… Todo este tratamiento de datos permite identificar a la persona con la que se va a mantener la relación y se convierte, por tanto, en una práctica habitual y necesaria.

Es por ello que la opción de no facilitar nunca los datos queda descartada, pues como no vivas en una cueva o seas un ermitaño de los montes, vas a tener que identificarte incluso varias veces a lo largo del día dejando un rastro de datos detrás de ti como si de Hansel y Gretel tirando miguitas por el bosque se tratara.

Sin embargo, el método de recogida y tratamiento de los datos personales ha evolucionado a lo largo del tiempo con la aparición de las nuevas tecnologías y la modernización de la sociedad, siendo en la actualidad una práctica habitual que los datos se recojan mediante sistemas automatizados, a través de una página web o aplicación online, o que se almacenen y traten en dispositivos automatizados como puede ser cualquier ordenador, móvil o tablet. ¿Cuántos no hemos rellenado un formulario por internet o firmado con un terminal de firma digital al menos una vez en la vida?

Esta automatización ha supuesto un aumento en la calidad de vida de los ciudadanos los cuales pueden, por ejemplo, dar sus datos para realizar la compra de un producto desde su propio sofá. Sin embargo, la facilidad ha llegado para ambas partes y esto también supone que se pueda hacer una recogida masiva de datos sin mayor esfuerzo por parte de las personas que los recaban.

Es por todo esto que resulta cuanto menos necesario buscar una garantía a los derechos de los ciudadanos y un control sobre sus datos. Es entonces cuando surge el derecho fundamental a la protección de los datos personales el cual les da la facultad de controlar sus datos personales y les permite disponer de ellos y decidir sobre los mismos.

Surge así el artículo 18 de la Constitución Española el cual no sólo recoge el derecho al honor, a la intimidad personal y familiar y a la propia imagen, sino que, además, establece una limitación al uso de la informática para garantizar estos derechos de los ciudadanos.

Este precepto constitucional fue posteriormente desarrollado por la LOPD 15/1999 evolucionando hasta la regulación actual a través del RGPD 2016/679 y de la LOPDGDD 3/2018, además de otras disposiciones normativas.

Se pasa, por tanto, del precepto constitucional y genérico de la protección al honor, intimidad y propia imagen, a una protección más exhaustiva a través de distintas disposiciones legales en las que ya se entra a profundizar en los derechos de que disponen las personas físicas cuyos datos son tratados, tales como el derecho a ser informado de quién trata sus datos, por qué, que tipo de datos trata, por cuanto tiempo… o el derecho a disponer de sus datos accediendo a ellos, limitando su tratamiento o solicitando su supresión, entre otros.

Lo que trata de garantizar el derecho fundamental que hemos mencionado es que puedas controlar tu honor, intimidad y propia imagen, en otras palabras, tus información personal y datos personales, y que puedas disponer de ellos y decidir quién puede usarlos y para qué fines.