Nace la nueva ISO / IEC 27701: 2019
Nace la ISO / IEC 27701: 2019 como una necesidad creciente de certificar el nuevo modelo de gestión sobre la privacidad que una organización.
Este documento especifica los requisitos relacionados con el sistema de gestión de la Privacidad y proporciona orientación, tanto para los responsables del tratamiento como los Encargados del tratamiento, de toda información de identificación personal (PII) que tienen responsabilidad del procesamiento de los datos personales.
ISO 27701 especifica los requisitos para – y proporciona orientación para establecer, implementar, mantener y mejorar continuamente – un PIMS (sistema de gestión de la privacidad de la información) basado en los requisitos, objetivos de control y controles de la norma de gestión de la seguridad de la información ISO 27001, y ampliado por un conjunto de requisitos específicos de privacidad, objetivos de control y controles.
Los responsables del tratamiento y/o los Encargados del tratamiento que han implementado ISO 27001 podrán usar ISO 27701 para ampliar sus esfuerzos de seguridad para cubrir la gestión de la privacidad, incluido su procesamiento de datos personales / PII (información de identificación personal), lo que les ayudará a demostrar el cumplimiento (responsabilidad proactiva) de las leyes de protección de datos como RGPD.
Por otro lado, las organizaciones sin un SGSI también pueden implementar ISO 27001 e ISO 27701 de forma conjunta como un solo proyecto de implementación. La razón es que la ISO 27701 simplemente extiende los requisitos y la orientación proporcionados por ISO 27001 y su código de práctica, ISO 27002, por lo que no hay necesidad de combinar dos sistemas de gestión separados.
ISO 27701 ha sido diseñado para ser utilizado por todos responsables del tratamiento y/o los Encargados del tratamiento que traten datos personales, siendo aplicable para todos los tipos y tamaños de organizaciones, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Al igual que ISO 27001, aboga por un enfoque basado en el riesgo para que cada organización conforme aborde los riesgos específicos que enfrenta, así como los riesgos para los datos personales y la privacidad.
