La protección de los datos de carácter personal se ha convertido en un aspecto fundamental que debe ser considerado por cualquier organización durante el desarrollo de sus actividades. El elevado volumen de información que se maneja en cualquier actividad empresarial (en particular de clientes, proveedores, trabajadores,...) así como la creciente complejidad e interconexión de los sistemas de información, ha hecho necesaria la definición de una normativa de protección de datos consistente y que permita asegurar una protección adecuada de la privacidad de las personas, y de derechos fundamentales como el derecho al honor y la intimidad. La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el ámbito europeo, y la publicación de los Estándares Iberoamericanos de Protección de Datos (que tratan de alinear las normativas de protección de datos con el citado RGPD) hacen necesario que las organizaciones públicas y privadas establezcan los mecanismos, procedimientos y políticas necesarias para cumplir con los requisitos de estas normativas, asegurando una protección adecuada de la información de carácter personal, y de los derechos de los afectados (titulares de los datos).
El incumplimiento de los requisitos de estas normativas, deriva en la falta de protección de derechos fundamentales de las personas (derecho al honor, intimidad y privacidad) y puede suponer, atendiendo a lo establecido por las normativas, elevadas infracciones o sanciones, que pueden poner en riesgo la continuidad de cualquier organización.
La ISO 27701, como extensión de la norma ISO 27001, permite que aquellas organizaciones que disponen de un Sistema de Gestión de Seguridad de la Información (SGSI) según los requisitos de la norma ISO 27001 de Seguridad de la Información, complementen esta gestión con los procesos y medidas necesarias para asegurar de forma efectiva la protección de los datos de carácter personal. Obtener la certificación según los requisitos de esta norma, permite evidenciar a terceros un cumplimiento efectivo de las normativas de protección de datos, consiguiendo consolidar la confianza de los clientes, proteger la reputación de una organización, y protegerse contra la responsabilidad legal y contra las sanciones que puedan derivarse del incumplimiento de la normativa.
En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27701:2019
*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización
Las organizaciones que complementan su SGSI con un Sistema de Gestión de Información de Privacidad (PIMS) según la norma ISO 27701 (extensión de ISO 27001:2013), se ven favorecidas de, entre otras, las siguientes ventajas:
Implementar un Sistema de Gestión de la Información de Privacidad (PIMS) permite a sus clientes:
En general, en un mercado y en una sociedad cada vez más dependiente de la información y, en particular, de los datos de carácter personal, implementar un Sistema de Gestión de Información de Privacidad permite:
Hoy en día, prácticamente todas las organizaciones, independientemente de su sector o tamaño, manejan datos de carácter personal, ya sea de sus trabajadores, clientes u otras partes interesadas, por lo que podría decirse que cualquier organización se ve afectada por los requisitos de las cada vez más reguladas normativas de protección de datos.
Esta extensión de la ISO 27001, permite que aquellas organizaciones que tienen desarrollado (o que prevén desarrollar) un Sistema de Gestión de Seguridad de la Información (ISO 27001) complementen esta gestión con los procesos, políticas y medidas necesarias para asegurar una protección adecuada de los datos personales, y un cumplimiento efectivo de las normativas de aplicación.
Además, la Extensión ISO 27701, tiene vocación universal y pretende establecer requisitos generales que permitan dar cumplimiento a las diferentes normativas de protección de datos, independientemente del ámbito territorial de la organización. En particular, en algunos sectores donde la información de carácter personales es epecialmente crítica (sanitario, bancario, de telecomunicaciones, académico, asistencial,...)la implementación de esta gestión de la información de privacidad, se convierte en algo imprescindible.