Con la entrada en vigor del Reglamento (UE) 2016/679 de protección de Datos (RGPD) y su adaptación en España con la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), se planteó una nueva necesidad para las empresas, exigiendo a los responsables y encargados de tratamiento la aplicación de medidas técnicas y organizativas adecuadas para garantizar la protección de la información personal.
Sin embargo, este reglamento deja algunos aspectos de seguridad al descubierto. El hecho de responsabilizar a las organizaciones de realizar un análisis de riesgos para determinar medidas propias en cuanto al uso de tecnología, tipología y volumen de datos, tratamientos, entre otros, no necesariamente garantiza la seguridad de la información personal.
Dicha situación ha derivado a que, el pasado 6 de agosto de 2019, se publicara la nueva ISO/IEC 27701:2019, cuyo ámbito de aplicación se extiende a todos los tipos y tamaños de organizaciones, incluyendo empresas públicas y privadas, entidades gubernamentales, fundaciones y organizaciones sin ánimo de lucro.
Esta norma es la primera, a nivel internacional, que combina protección de datos y seguridad de la información, ya que está directamente relacionada con el RGPD y basada en las ISO 27001 y su código de práctica ISO 27002, cuyo objetivo es mejorar el Sistema de Gestión de Seguridad de la Información (SGSI). Gracias a esto, los responsables y/o los encargados de tratamiento ahora pueden contar con las directrices necesarias y unos controles preestablecidos de seguridad en materia de privacidad de datos.
¿Qué ventajas tiene la implantación de mecanismos de control y seguridad?
La adopción de medidas que combinen la seguridad de la información y la protección de los datos personales permite a las empresas:
En definitiva, la privacidad de los datos se está convirtiendo en una prioridad, por lo que cada vez es más importante que las organizaciones evalúen sus riesgos y refuercen sus medidas de seguridad y protección de datos de carácter personal. De lo contrario, se exponen a sanciones económicas por parte de la Agencia Española de Protección de Datos (AEPD) por la pérdida de información o un mal uso y tratamiento de los datos personales, entre otros, y perjudicar la imagen y reputación de la empresa.
Yazomary García, Senior Manager de GRC
Daniel Medrano, Consultor de GRC