“No es suficiente con cumplir, hay que DEMOSTRARLO”. Tras esta premisa y 4 años de intenso trabajo en adaptar nuestra empresa al cumplimiento de las exigencias del RGPD, la Certificación en Privacidad es una realidad.
Para las Organizaciones no hay mejor manera de demostrar el llamado principio de Responsabilidad Proactiva o Accountability (prueba de cumplimiento) que sometiéndose a examen.
Son varias las empresas que durante este año han decidido dar un paso más hacia la madurez de sus sistemas de gestión de seguridad preservando la confidencialidad, integridad y disponibilidad de su activo más importante, la información personal. Este proceso concluye en la certificación de sus sistemas de gestión de privacidad a través del estándar internacional que ofrece la norma ISO/IEC 27701:2019 de Gestión de la Privacidad de la Información.
En el último evento celebrado por el DPI (Data Privacy Institute), dependiente del ISMS Forum (Asociación para el Fomento de la Seguridad de la Información), pudimos constatar que las estadísticas resultantes de las encuestas realizadas por dicha Organización, a un número considerable de empresas relevantes de nuestro país, arrojaban un dato significativo “un 70% de los encuestados había realizado o tenía previsto realizar una auditoría de cumplimiento del RGPD de cara a la cumplimentación de su ciclo de mejora continua o ciclo PDCA.”
Y es que, si el sistema de gestión de privacidad de nuestra empresa se encuentra en un estado avanzado, es el momento idóneo para sumar a nuestro elenco de certificaciones una evidencia de cumplimiento en este ámbito validada por un tercero acreditado.
Aunque la certificación por sí misma no exime de responsabilidad a una empresa ante un procedimiento sancionador iniciado por la Autoridad de Control, son muchos los beneficios que se pueden obtener de ella, como son:
En relación a este último aspecto, cabe la posibilidad que, en un futuro no muy lejano, la falta de esta certificación sea motivo de descalificación o imposibilite la presentación de propuestas a aquellas empresas que quieran licitar a concursos públicos y/o privados de cierta magnitud. Algo que hemos tenido ocasión de vivir con otras certificaciones como las referidas a calidad (ISO 9001) o seguridad de la información (ISO/IEC 27001 o ENS).
¿En qué consiste esta norma ISO/IEC 27701?
Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS). Se basa en los requisitos, controles y objetivos de la norma ISO/IEC 27001 relativa a los de Sistemas de Gestión de Seguridad de la Información (SGSI) y las obligaciones del RGPD.
El estándar describe un marco para ayudar a reducir los riesgos de Privacidad en los tratamientos de datos personales o información de identificación personal (PII), tanto para responsables como encargados del tratamiento de datos personales.
¿Qué empresas pueden obtener la certificación?
Podrá certificarse todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, las entidades gubernamentales y las organizaciones sin ánimo de lucro.
El único requisito para certificarse es disponer del certificado ISO/IEC 27001 de Seguridad de la Información.
Por tanto, las organizaciones que no dispongan de esta certificación previa necesaria (ISO/IEC 27001), podrán iniciar un proceso de certificación conjunto aprovechando las sinergias de ambas certificaciones en un solo proyecto de implantación común, además de una reducción de costes.
¿Cómo enfoco un proyecto de adecuación al estándar?
Realizando un Análisis GAP y definiendo un plan de acción respecto del cumplimiento de:
¿Cuánto tiempo necesitaré para obtener mi certificación?
El tiempo de un proceso de adecuación de los controles del sistema de gestión de privacidad de una Organización al estándar internacional dependerá, entre otros factores, del tamaño de la misma, del volumen de los tratamientos de datos personales y del número de sistemas de información que traten datos personales. Conociendo la organización y tras llevar a cabo el Análisis GAP se puede determinar con exactitud un periodo temporal factible para su obtención.
En ECIX estamos apoyando a nuestros clientes en su camino hacia la excelencia abordando procesos de obtención de certificaciones en Privacidad (ISO/IEC 27701), Seguridad de la Información (ISO/IEC 27001 y ENS) y Compliance (UNE 19601). Si tu empresa se plantea esta opción y tienes dudas sobre cómo hacerlo, no dudes en preguntarnos.
Esmeralda Saracibar
Socia de Ecix
C/ Jerónimo Zurita 10, entlo dcha.
50001 Zaragoza
(+34) 976 11 37 57
Avenida Diagonal, 427 bis – 429
08036 Barcelona
(+34) 93 807 48 50
EcixGroup está en continua búsqueda de profesionales que se puedan sumar a nuestro proyecto. Si quieres trabajar con nosotros inscríbete en alguna de nuestras ofertas.
C/ Pedro de Valdivia, 10.
28006 Madrid
(+34) 91 001 67 67