ISO 27701:2019Privacidad de la Información

Introducción

Más allá de las innegables ventajas que la conocida como Sociedad de la Información nos aporta, la actual tecnificación que vivimos ha introducido nuevos retos. De todos ellos, la protección de los datos de carácter personal, es hoy en día los principales.

Estos datos de carácter personal son todos aquellos relativos a una persona física identificada o identi-ficable y que permitirían conocer alguno de los elementos propios de su identidad, ya se de tipo ideoló-gico, cultural, personal, etc.

Es por ello que los diferentes gobiernos y agencias han creado una serie de nuevas regulaciones enca-minadas a la protección de esta información.

Las organizaciones tienen por delante la tarea de dar respuesta a estos nuevos derechos y garantizar tanto un tratamiento adecuado de los datos de carácter personal como una protección suficiente de los mismos.

ISO/IEC 27701

Es un estándar internacional pensado para ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal que gestionan las orga-nizaciones.

Se ha configurado como una extensión del estándar ISO/IEC 27001 de Seguridad de la Información, beneficiándose de los procesos de seguridad que este estándar establece.

Permite la integración de la gestión de la información de carácter personal con otros estándares.

Facilita el cumplimiento de las normativas legales vinculadas a los datos de carácter personal como el RGPD y la LOPDGDD.

Establece diferentes requisitos en función del rol que desempeñe la organización, ya sea como responsable o como encargado del tratamiento.

Permite certificar el cumplimiento de las buenas prácticas en materia de gestión de datos de carácter personal.

Integración con ISO/IEC 27001

Es necesario la existencia o desarrollo de un SGSI conforme a ISO/IEC 27001.

La implantación del Sistema de Gestión de Privacidad de la Información (SGPI) requerirá:

Una ampliación de los requisitos del cuerpo normativo de ISO/IEC 27001Una ampliación de los requisitos de algunos de los controles del anexo A de ISO/IEC 27001La implantación de nuevos controles de seguridad del anexo A de ISO/IEC 27701 en el caso de los responsables del tratamientoLa implantación de nuevos controles de seguridad del anexo B de ISO/IEC 27701 en el caso de los encargados del tratamiento

SGSI Clásico

ISO/IEC 27001

Anexo AISO/ IEC 27001

Dominio 5

Dominio 6

Dominio 7

...

...

Dominio 18

SGSPI

ISO/IEC 27001

Anexo AISO/ IEC 27001

Dominio 5

Dominio 6

Dominio 7

...

...

Dominio 18

ISO/IEC27701 §6

ISO/IEC 27701Anexo A

ISO/IEC 27701Anexo B

ISO/IEC 27701 §5

Cambios en el SGSI para la implantación de un SGPI

ISO 27001 ISO 27701 Cambios Resumen

4 5.2 SíLa organización debe realizar un análisis del contexto tratando de comprender el rol de la organización como gestor de datos de carácter personal dentro de su contexto.

5 5.3 No ---

6 5.4 Sí

La organización debe realizar un análisis de riesgos vinculado a la ges ón de datos de carácter personal (autónomo o integrado en el análisis de riesgos de seguridad de la información), determinar los controles de los anexos A y B que debe implantar y crear una declaración de aplicabilidad del SGPI.

7 5.5 No ---

8 5.6 No ---

9 5.7 No ---

10 5.8 No ---

Cambios en el SGSI para la implantación de un SGPI

ISO 27001 ISO 27701 Cambios ISO 27001 ISO 27701 CambiosA 5 6.2 Sí A 12 6.9 Sí

A 6 6.3 Sí A 13 6.10 Sí

A 7 6.4 Sí A 14 6.11 Sí

A 8 6.5 Sí

A 9 6.6 Sí A 16 6.13 Sí

A 10 6.7 Sí A 17 6.14 No

A 11 6.8 Sí A 18 6.15 Sí

A 15 6.12 Sí

Cambios en el SGSI para la implantación de un SGPI (A.5)

ISO 27001 ISO 27701 CambiosA.5.1.1 6.2.1.1 Es necesario la creación de una Polí ca rela va a Privacidad de la Información, autónoma o

integrada con la Polí ca de Seguridad de la InformaciónA.5.1.2 6.2.1.2 Sin cambios

ISO 27001 ISO 27701 CambiosA.6.1.1 6.3.1.1 Se debe establecer un punto de contacto rela vo a datos personales para los clientes y

responsables de protección de datos independientes.A.6.1.2 6.3.1.2 Sin cambios

A.6.1.3 6.3.1.3 Sin cambios

A.6.1.4 6.3.1.4 Sin cambios

A.6.1.5 6.3.1.5 Sin cambios

A.6.2.1 6.3.2.1 La organización debe asegurarse que el uso disposi vos móviles no afecta a la protección de datos personales.

A.6.2.2 6.3.2.2 cambios

Cambios en el SGSI para la implantación de un SGPI (A.6)

Cambios en el SGSI para la implantación de un SGPI (A.7)

ISO 27001 ISO 27701 CambiosA.7.1.1 6.4.1.1 Sin cambios

A.7.1.2 6.4.1.2 Sin cambios

A.7.2.1 6.4.2.1 Sin cambios

A.7.2.2 6.4.2.2 Se deben realizar acciones de concienciación y formación específicas vinculadas a privacidad de la información y los incidentes de privacidad.

A.7.2.3 6.4.2.3 Sin cambios

A.7.3.1 6.4.3.1 Sin cambios

ISO 27001 ISO 27701 CambiosA.8.1.1 6.5.1.1 Sin cambios

A.8.1.2 6.5.1.2 Sin cambios

A.8.1.3 6.5.1.3 Sin cambios

A.8.1.4 6.5.1.4 Sin cambios

A.8.2.1 6.5.2.1 Deben incluirse los datos de carácter personal dentro del sistema de clasificación de la información implementado en la organización.

A.8.2.2 6.5.2.2 La organización debe asegurarse que la información de carácter personal sea reconocible.

A.8.2.3 6.5.2.3 Sin cambios

A.8.3.1 6.5.3.1 Se deben implementar medidas especiales para los disposi vos extraíbles que contengan datos de carácter personal, con especial atención al uso de la criptogra a.

A.8.3.2 6.5.3.2 Deben documentarse y aplicarse procedimientos de destrucción/eliminación segura de los disposi vos extraíbles vinculados a datos de carácter personal.

A.8.3.3 6.5.3.3 Se debe implementar un registro de los medios sicos en tránsito vinculados a datos de carácter personal, además de valorar la implementación de sistemas de protección criptográficos.

Cambios en el SGSI para la implantación de un SGPI (A.8)

ISO 27001 ISO 27701 CambiosA.9.3.1 6.6.3.1 Sin cambios

A.9.4.1 6.6.4.1 Sin cambios

A.9.4.2 6.6.4.2 Si es necesario, se debe proveer al cliente de métodos de inicio de sesión a los sistemas vinculados a los datos de carácter personal.

A.9.4.3 6.6.4.3 Sin cambios

A.9.4.4 6.6.4.4 Sin cambios

A.9.4.5 6.6.4.5 Sin cambios

ISO 27001 ISO 27701 CambiosA.9.1.1 6.6.1.1 Sin cambios

A.9.1.2 6.6.1.2 Sin cambios

A.9.2.1 6.6.2.1 El proceso de registro y baja de usuarios debe implementar procesos especiales para los usuarios vinculados a los datos de carácter personal, especialmente en lo referido a situaciones en la que la información pueda verse comprome da.

A.9.2.2 6.6.2.2 Se deben registrar los usuarios y privilegios de las personas vinculadas a datos de carácter personal, así como proveer al cliente de un acceso de ges ón en caso de ser necesario.

A.9.2.3 6.6.2.3 Sin cambios

A.9.2.4 6.6.2.4 Sin cambios

A.9.2.5 6.6.2.5 Sin cambios

A.9.2.6 6.6.2.6 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.9)

Cambios en el SGSI para la implantación de un SGPI (A.10)

ISO 27001 ISO 27701 CambiosA.10.1.1 6.7.1.1 Se deben implementar los sistemas criptográficos requeridos por la legislación aplicable, así

como aportar al cliente, en caso de ser necesario, la información sobre la propia implementación de la criptogra a para la protección de los datos de carácter personal.

A.10.1.2 6.7.1.2 Sin cambios

ISO 27001 ISO 27701 CambiosA.11.2.1 6.8.3.1 Sin cambios

A.11.2.2 6.8.3.2 Sin cambios

A.11.2.3 6.8.3.3 Sin cambios

A.11.2.4 6.8.3.4 Sin cambios

A.11.2.5 6.8.3.5 Sin cambios

A.11.2.6 6.8.3.6 Sin cambios

A.11.2.7 6.8.3.7 Se deben implementar salvaguardas para asegurar que los espacios de almacenamiento de información u lizados previamente para almacenar datos de carácter personal no permiten acceder a esta información posteriormente.

A.11.2.8 6.8.3.8 Sin cambios

A.11.2.9 6.8.3.9 La organización debe limitar el uso de copias impresas de información de carácter personal al mínimo imprescindible para la operación.

ISO 27001 ISO 27701 CambiosA.11.1.1 6.8.3.1 Sin cambios

A.11.1.2 6.8.3.2 Sin cambios

A.11.1.3 6.8.3.3 Sin cambios

A.11.1.4 6.8.3.4 Sin cambios

A.11.1.5 6.8.3.5 Sin cambios

A.11.1.6 6.8.3.6 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.11)

Cambios en el SGSI para la implantación de un SGPI (A.12)

ISO 27001 ISO 27701 CambiosA.12.1.1 6.9.1.1 Sin cambios

A.12.1.2 6.9.1.2 Sin cambios

A.12.1.3 6.9.1.3 Sin cambios

A.12.1.4 6.9.1.4 Sin cambios

A.12.1.5 6.9.1.5 Sin cambios

A.12.2.1 6.9.2.1 Sin cambios

A.12.3.1 6.9.3.1 Se debe crear una polí ca vinculada al proceso de copia de seguridad de datos de carácter personal, e informar de los aspectos relevantes al cliente en caso de ser el responsable del proceso. Las restauraciones deben registrarse y el proceso de restauración debe asegurar que se devuelve la información a un estado anterior en el que se garan ce la integridad.

Cambios en el SGSI para la implantación de un SGPI (A.12)

ISO 27001 ISO 27701 CambiosA.12.4.1 6.9.4.1 Es necesario registrar todos los eventos relevantes para la protección de los datos de

carácter personal, así como revisar los mismos de forma periódica.A.12.4.2 6.9.4.2 La organización debe implementar medidas para garan zar que el acceso a los registros de

eventos son u lizados solo para los fines para los que fueron almacenados, en la medida en que estos registros pueden contener datos de carácter personal. Se debe dar prioridad a los sistemas automa zados de borrado o anonimizado.

A.12.4.3 6.9.4.3 Sin cambios

A.12.4.4 6.9.4.4 Sin cambios

A.12.5.1 6.9.5.1 Sin cambios

A.12.6.1 6.9.6.1 Sin cambios

A.12.6.2 6.9.6.2 Sin cambios

A.12.7.1 6.9.7.1 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.13)

ISO 27001 ISO 27701 CambiosA.13.1.1 6.10.1.1 Sin cambios

A.13.1.2 6.10.1.2 Sin cambios

A.13.1.3 6.10.1.3 Sin cambios

A.13.2.1 6.10.2.1 La organización debe asegurarse que las normas vinculadas al procesamiento de datos de carácter personal tanto dentro como fuera del sistema cuando sea necesario.

A.13.2.2 6.10.2.2 Sin cambios

A.13.2.3 6.10.2.3 Sin cambios

A.13.2.4 6.10.2.4 Los acuerdos alcanzados deben contener obligación de confidencialidad con mención expresa a la vigencia del deber, estos acuerdos deben incluir a los trabajadores de la tercera en dad y a otros relacionados.

Cambios en el SGSI para la implantación de un SGPI (A.14)

ISO 27001 ISO 27701 CambiosA.14.1.1 6.11.1.1 Sin cambios

A.14.1.2 6.11.1.2 La información enviada a través de redes inseguras debe cifrarse.

A.14.1.3 6.11.1.3 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.14)

ISO 27001 ISO 27701 CambiosA.14.2.1 6.11.2.1 La polí ca de desarrollo seguro debe contemplar las obligaciones de la organización

rela vos a datos de carácter personal, incluyendo principios de privacidad en el ciclo de vida, incluyendo la privacidad como un requisito de la fase de diseño, obje vos de privacidad como hitos del desarrollo, requiriendo conocimientos sobre privacidad y minimizando al máximo el procesamiento de datos de carácter personal.

A.14.2.2 6.11.2.2 Sin cambios

A.14.2.3 6.11.2.3 Sin cambios

A.14.2.4 6.11.2.4 Sin cambios

A.14.2.5 6.11.2.5 El desarrollo debe contemplar el principio de privacidad por diseño y privacidad por defecto.

A.14.2.6 6.11.2.6 Sin cambios

A.14.2.7 6.11.2.7 Los encargados del desarrollo externalizado deben respetar los principios anteriores.

A.14.2.8 6.11.2.8 Sin cambios

A.14.2.9 6.11.2.9 Sin cambios

A.14.3.1 6.11.3.1 Se debe evitar el uso de datos de carácter personal como datos de prueba, prefiriéndose en su lugar datos falso o generados ad-hoc. En caso de no ser posible, se deben implementar medidas para minimizar el riesgo derivados del uso de datos de carácter personal.

Cambios en el SGSI para la implantación de un SGPI (A.15)

ISO 27001 ISO 27701 CambiosA.15.1.1 6.12.1.1 Sin cambios

A.15.1.2 6.12.1.2 En el caso de acuerdos en los que haya tratamiento de datos de carácter personal, el contrato debe especificar las medidas técnicas y organiza vas mínimas que el proveedor debe respetar. Estos acuerdos deben especificar las responsabilidades de las partes, así como especificar las formas en que cada una de ellas puede verificar el cumplimiento por parte de las otras.

A.15.1.3 6.12.1.3 Sin cambios

A.15.2.1 6.12.2.1 Sin cambios

A.15.2.2 6.12.2.2 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.16)

ISO 27001 ISO 27701 CambiosA.16.1.1 6.13.1.1 Los procedimientos vinculados a incidentes de seguridad de la información deben incluir

procedimientos y responsabilidades específicos para caso de incidentes de privacidad de la información.

A.16.1.2 6.13.1.2 Sin cambios

A.16.1.3 6.13.1.3 Sin cambios

A.16.1.4 6.13.1.4 Sin cambios

A.16.1.5 6.13.1.5 Los incidentes que afectes a datos de carácter personal deben generar una respuesta específica y procedimentada de la organización, teniendo en cuenta los requisitos legales aplicables para estos casos; incluyendo la no ficación a las autoridades y partes afectadas y los registros de la inves gación.

A.16.1.6 6.13.1.6 Sin cambios

A.16.1.7 6.13.1.7 Sin cambios

Cambios en el SGSI para la implantación de un SGPI (A.17)

ISO 27001 ISO 27701 CambiosA.17.1.1 6.14.1.1 Sin cambios

A.17.1.2 6.14.1.2 Sin cambios

A.17.1.3 6.14.1.3 Sin cambios

A.17.2.1 6.14.2.1 Sin cambios

ISO 27001 ISO 27701 CambiosA.18.1.1 6.15.1.1 La organización debe iden ficar las posibles sanciones derivadas del procesamiento de

datos de carácter personal.A.18.1.2 6.15.1.2 Sin cambios

A.18.1.3 6.15.1.3 Se deben guardar registros históricos de las polí cas vinculadas a datos de carácter personal.

A.18.1.4 6.15.1.4 Sin cambios

A.18.1.5 6.15.1.5 Sin cambios

A.18.2.1 6.15.2.1 La organización que actúe como encargado del tratamiento debe permi r la revisión del cumplimiento de todas sus obligaciones rela vas a seguridad de los datos de carácter personal.

A.18.2.2 6.15.2.2 Sin cambios

A.18.2.3 6.15.2.3 Dentro de la revisión técnica del cumplimiento, se debe incluir la revisión de las herramientas y componentes del sistemas vinculados a tratamiento de datos personales, incluyendo la verificación directa, los test de penetración y los test de vulnerabilidades.

Cambios en el SGSI para la implantación de un SGPI (A.18)

Anexo A del SGPI – Responsables del tratamiento

Dominios Controles ContenidoA.7.2 8 Condiciones para la recolección y el tratamiento

A.7.3 10 Obligaciones respecto de los propietarios de los datos

A.7.4 9 Privacidad por diseño y privacidad por defecto

A.7.5 4 Compar ción, transferencia y revelación de datos de carácter personal

Anexo B del SGPI – Encargados del tratamiento

Dominios Controles ContenidoA.8.2 6 Condiciones para la recolección y el tratamiento

A.8.3 1 Obligaciones respecto de los propietarios de los datos

A.8.4 3 Privacidad por diseño y privacidad por defecto

A.8.5 8 Compar ción, transferencia y revelación de datos de carácter personal

Camino de la Zarzuela, 15 | Bloque 2, 1ª Planta | 28023 Madrid902 44 9001 · +34 91 307 86 48 | Fax: 91 357 40 28

www.eqa.es | info@eqa.es

Andalucía | Cataluña | C. Valenciana | Galicia | Madrid