Demuestra el compromiso de tu empresa y certifícala en Privacidad

“No es suficiente con cumplir, hay que DEMOSTRARLO”. Tras esta premisa y 4 años de intenso trabajo en adaptar nuestra empresa al cumplimiento de las exigencias del RGPD, la Certificación en Privacidad es una realidad.

Para las Organizaciones no hay mejor manera de demostrar el llamado principio de Responsabilidad Proactiva o Accountability (prueba de cumplimiento) que sometiéndose a examen.

Son varias las empresas que durante este año han decidido dar un paso más hacia la madurez de sus sistemas de gestión de seguridad preservando la confidencialidad, integridad y disponibilidad de su activo más importante, la información personal. Este proceso concluye en la certificación de sus sistemas de gestión de privacidad a través del estándar internacional que ofrece la norma ISO/IEC 27701:2019 de Gestión de la Privacidad de la Información.

En el último evento celebrado por el DPI (Data Privacy Institute), dependiente del ISMS Forum (Asociación para el Fomento de la Seguridad de la Información), pudimos constatar que las estadísticas resultantes de las encuestas realizadas por dicha Organización, a un número considerable de empresas relevantes de nuestro país, arrojaban un dato significativo “un 70% de los encuestados había realizado o tenía previsto realizar una auditoría de cumplimiento del RGPD de cara a la cumplimentación de su ciclo de mejora continua o ciclo PDCA.”

Y es que, si el sistema de gestión de privacidad de nuestra empresa se encuentra en un estado avanzado, es el momento idóneo para sumar a nuestro elenco de certificaciones una evidencia de cumplimiento en este ámbito validada por un tercero acreditado.

Aunque la certificación por sí misma no exime de responsabilidad a una empresa ante un procedimiento sancionador iniciado por la Autoridad de Control, son muchos los beneficios que se pueden obtener de ella, como son:

• Minoración del riesgo de incumplimiento en materia de protección de datos.
• Atenuación de la cuantía de una sanción.
• Fidelización de clientes.
• Diferencial frente a la competencia.
• Valor añadido en licitaciones

En relación a este último aspecto, cabe la posibilidad que, en un futuro no muy lejano, la falta de esta certificación sea motivo de descalificación o imposibilite la presentación de propuestas a aquellas empresas que quieran licitar a concursos públicos y/o privados de cierta magnitud. Algo que hemos tenido ocasión de vivir con otras certificaciones como las referidas a calidad (ISO 9001) o seguridad de la información (ISO/IEC 27001 o ENS).

¿En qué consiste esta norma ISO/IEC 27701?

Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS). Se basa en los requisitos, controles y objetivos de la norma ISO/IEC 27001 relativa a los de Sistemas de Gestión de Seguridad de la Información (SGSI) y las obligaciones del RGPD.

El estándar describe un marco para ayudar a reducir los riesgos de Privacidad en los tratamientos de datos personales o información de identificación personal (PII), tanto para responsables como encargados del tratamiento de datos personales.

¿Qué empresas pueden obtener la certificación?

Podrá certificarse todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, las entidades gubernamentales y las organizaciones sin ánimo de lucro.

El único requisito para certificarse es disponer del certificado ISO/IEC 27001 de Seguridad de la Información.

Por tanto, las organizaciones que no dispongan de esta certificación previa necesaria (ISO/IEC 27001), podrán iniciar un proceso de certificación conjunto aprovechando las sinergias de ambas certificaciones en un solo proyecto de implantación común, además de una reducción de costes.

¿Cómo enfoco un proyecto de adecuación al estándar?

Realizando un Análisis GAP y definiendo un plan de acción respecto del cumplimiento de:

• Los requisitos específicos del sistema de gestión de Privacidad (PIMS) relacionados con la ISO/IEC 27001. La ISO/IEC 27701 amplia y extiende los requisitos de la ISO/IEC 27001 y la ISO/IEC 27002 en lo relativo a la “Seguridad de la Información” para incluir la Privacidad de los datos y su protección, ampliando así las obligaciones de estos últimos estándares en cuanto a privacidad.
• Los requerimientos propios de Privacidad en función del rol que desempeñe la Organización en el tratamiento de los datos, esto es, los nuevos controles que adiciona la ISO 27701 específicos para los responsables y los encargados del tratamiento que, en su mayoría, se refieren a las obligaciones contempladas en el RGPD.

¿Cuánto tiempo necesitaré para obtener mi certificación?

El tiempo de un proceso de adecuación de los controles del sistema de gestión de privacidad de una Organización al estándar internacional dependerá, entre otros factores, del tamaño de la misma, del volumen de los tratamientos de datos personales y del número de sistemas de información que traten datos personales. Conociendo la organización y tras llevar a cabo el Análisis GAP se puede determinar con exactitud un periodo temporal factible para su obtención.

En ECIX estamos apoyando a nuestros clientes en su camino hacia la excelencia abordando procesos de obtención de certificaciones en Privacidad (ISO/IEC 27701), Seguridad de la Información (ISO/IEC 27001 y ENS) y Compliance (UNE 19601). Si tu empresa se plantea esta opción y tienes dudas sobre cómo hacerlo, no dudes en preguntarnos.

Esmeralda Saracibar

Socia de Ecix