Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), muchas organizaciones se han preguntado si deben certificar su sistema de gestión de seguridad de la información conforme a la norma ISO/IEC 27001 O la ISO/IEC 27701 ¿Es realmente obligatorio? ¿Qué aporta esta norma en materia de cumplimiento? Te lo explicamos.
¿Qué exige el RGPD?
El RGPD no menciona explícitamente la ISO 27001 ni la ISO 27701 ni obliga a las organizaciones a certificarse. Lo que sí establece, en su artículo 32, es la necesidad de garantizar un nivel de seguridad adecuado frente a los riesgos asociados al tratamiento de datos personales. Esto implica adoptar medidas técnicas y organizativas apropiadas, como:
- Pseudonimización y cifrado de datos personales.
- Garantizar la confidencialidad, integridad y disponibilidad de los sistemas.
- Procedimientos para restaurar la disponibilidad tras incidentes.
- Procesos para verificar y evaluar la eficacia de las medidas.
¿Dónde encaja ISO 27701?
La ISO 27701 es una norma internacional que especifica los requisitos para un Sistema de Gestión de Información de Privacidad (PIMS) y proporciona orientación para establecer, implementar, mantener y mejorar continuamente dicho sistema. Actúa como una extensión de la norma ISO 27001 (Sistema de Gestión de Seguridad de la Información) y la ISO 27002 (Controles de Seguridad), enfocándose específicamente en la gestión de la privacidad de la información, esto incluye:
- Identificación y tratamiento de riesgos.
- Políticas y controles de seguridad.
- Gestión de incidentes.
- Mejora continua del sistema.
- Continuidad de negocio
ICDQ dispone de la acreditación para la certificación tanto de la norma ISO/IEC 27001 para la seguridad de la información como para emitir certificados acreditados para la norma ISOP /IEC 27701 para la gestión de privacidad de la información
Certificarse en ISO 27701 no es obligatorio según el RGPD, pero sí es una herramienta altamente eficaz para demostrar que tu organización cumple con los principios del reglamento, especialmente en lo relativo a la seguridad.
Beneficios de certificar la ISO/IEC 27701 en el contexto del RGPD
- Refuerzo del cumplimiento legal con un sistema documentado y auditado por tercera parte independiente acreditada.
- Mayor confianza de clientes y usuarios en la gestión de sus datos.
- Reducción del riesgo de sanciones por incumplimiento del RGPD al aplicar la debida diligencia mediante el sistema.
- Capacidad de respuesta y restablecimiento ante incidentes y ciberataques.
- Ventaja competitiva en licitaciones y relaciones comerciales.
La ISO 27701 no es obligatoria, pero sí es altamente recomendable para cualquier organización que quiera garantizar una gestión segura, eficiente y conforme a la ley de sus datos personales. Además, contar con una certificación independiente acreditada como la de ICDQ es una forma sólida de acreditar ese compromiso ante terceros y organismos supervisores.
¿Quieres saber si tu sistema de seguridad de la información está alineado con los requisitos del RGPD?
En ICDQ te ayudamos a valorarlo y a avanzar hacia una certificación reconocida internacionalmente. Contáctanos para más información.
