Una de las grandes novedades que trajo consigo el Reglamento General de Protección de Datos (RGPD) fue sin duda el principio de Responsabilidad Proactiva por el cual, los Responsables de Tratamiento serán responsables de que se cumpla la legislación de protección de datos y deben ser capaces de demostrarlo. Por tanto, no sólo debemos cumplir con la normativa, sino que además debemos demostrarlo en todo momento.
La responsabilidad proactiva conlleva que el Responsable de Tratamiento deberá establecer los procedimientos y medidas necesarias para llevar a cabo esta demostración de cumplimiento. Dentro de las muchas medidas que se deben tener en cuenta, están las de la realización de análisis de riesgos así como la puesta en marcha de las medidas de seguridad adecuadas y aquí es donde entra de pleno la Norma ISO 27001:2013 que nos marca los requisitos a tener en cuenta en la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI) certificables.
¿En qué nos ayuda un Sistema de Gestión de Seguridad de la Información?
La implantación de la ISO 27001 conlleva para las organizaciones un gran paso delante de cara a securizar su información creando los procesos y procedimientos adecuados así como la implementación de las medidas adecuadas para proteger nuestra información. Además, trae consigo la necesidad de documentar todo el sistema por lo que seremos capaces de demostrar en todo momento muchos de los aspectos normativos relacionados con el RGPD.
Por otra parte, un aspecto a tener en cuenta, es el necesario análisis de riesgos de nuestro SGSI a través del cual estableceremos las medidas más oportunas para proteger la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de nuestra información. Este análisis de riesgos, bien realizado e integrado con el de protección de datos, nos proporciona una herramienta perfecta para, además de securizar nuestra información,
cumplir con la normativa vigente en materia de protección de datos consiguiendo tratar los riesgos implementando la implementación de las medidas necesarias en cada momento. De esta forma, conseguiremos tener un mayor control sobre los riesgos de privacidad existentes en nuestra organización. La implantación de un Sistema de Gestión de Seguridad de la Información traerá consigo una mayor confianza de todos los terceros que se relacionan con nosotros y una mejor reputación como empresa concienciada con la cada vez más necesaria seguridad de la información y también con la privacidad.
ISO 27701:2019, un paso más…
Y esto no ha hecho más que empezar ya que, si buscamos una integración perfecta de la seguridad de la información de nuestra organización y del cumplimiento normativo de protección de datos, durante el año 2019, se publicó la Norma ISO 27701:2019 de Sistemas de Gestión de la Información de Privacidad (PIMS) que es una extensión de las Normas ISO 27001 e ISO 27002 centrada específicamente en los datos personales. Sin duda, todas aquellas
organizaciones que decidan certificarse en esta Norma, demostrarán una Responsabilidad Proactiva del cumplimiento de la legislación tanto internamente como de cara a todos aquellos terceros que cada vez están más preocupados por la privacidad.
Valladolid 30 de junio de 2020
Symbiosis Consultores
*Fuente Imagen: Pixabay