Es este artículo vamos a intentar explicar de forma comprensible la relación entre el RGPD y la norma ISO 27001. Es frecuente que estas normas vayan de la mano, y a veces se confunden. Sin embargo, pronto descubrirás por qué se relacionan, sus diferencias y cómo implementarlas.
¿En qué consisten?
Lo primero para entender las relaciones que puede haber entre el Reglamento y la norma internacional es saber en qué consisten exactamente. Ten en cuenta que el primero es una norma legal, mientras que la segunda es meramente convencional.
El Reglamento General de Protección de Datos (RGPD)
Poco hay que decir acerca del Reglamento General de Protección de Datos, porque ha supuesto una auténtica revolución. ¿Has visto últimamente el hashtag #YocumploRGPD? Entonces sabrás de qué va el asunto.
RGPD es la forma amable de denominar al Reglamento (UE) 2016/679, que regula la protección de las personas en cuanto al tratamiento de sus datos personales como un derecho fundamental, a tenor del art. 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea.
Como cabe esperar de esta introducción, el Reglamento regula la protección de los datos de carácter personal de las personas físicas. Lo cual resulta importante y difícil teniendo en cuenta que en la sociedad de la información los datos personales circulan a ritmos vertiginosos. Así, el reto de la norma es armonizar esta protección de datos con la libre circulación de los mismos.
¿Qué es la norma ISO 27001?
ISO son las siglas de la Organización Internacional de Normalización, y su norma internacional 27001 es la que describe cómo gestionar la seguridad de la información en las empresas y organizaciones.
Esta norma implementa medidas de seguridad basadas en la evaluación de riesgos que afectan a la confidencialidad, integridad y disponibilidad de la información.
Tales medidas de seguridad incluyen el empleo adecuado de hardware y software, así como la implementación de políticas, procedimientos y sistemas de evaluación y control.
¿Cuál es la relación entre ambas normas?
En definitiva, la norma internacional tiene un carácter más técnico que el Reglamento y se aplica a los procesos de seguridad de la información, y no tan solo a la protección de datos de carácter personal.
Sin embargo, al concurrir en lo referente a la protección de datos, las empresas y organizaciones que no están adaptadas a ninguno de los dos suelen implementar ambos a la vez.
Ten en cuenta que el Reglamento Europeo se limita a definir los límites legales del tratamiento de datos de carácter personal. Es decir, basta con no contravenirlo para evitar problemas. Sin embargo, las normas ISO se certifican, y esta no es una excepción.
Por tanto, las empresas y organizaciones interesadas en adaptarse al Reglamento suelen aprovechar para implementar la norma ISO 27001 e introducir en tal implementación el contenido del RGPD.
La certificación de las normas internacionales
Las organizaciones y los profesionales que desean certificar su adecuación a las normas ISO tienen que seguir el procedimiento establecido. En el caso de las personas físicas, se trata de superar un curso, aprobando un examen final. En el caso de las personas jurídicas, hay que implementar la norma para someterse posteriormente a una auditoría.
La entidad de certificación revisa toda la documentación que exige la norma y posteriormente se desplaza a la empresa u organización para comprobar el cumplimiento de la misma. Además, el certificado válidamente emitido tiene una vigencia de 3 años, durante los cuales la entidad de certificación realizará visitas periódicas.
En definitiva, este mayor control para obtener la certificación ISO puede ayudar a la entidad a implementar el contenido del Reglamento, obteniendo el visto bueno de la entidad de certificación. Por supuesto, este visto bueno no es oficial a nivel de RGPD, pero muy difícilmente se incumplirá éste si se ha establecido un adecuado sistema de seguridad de la información.
¿Cómo se integra la norma internacional?
En definitiva, al prestar servicios a personas residentes en la Unión Europea o al estar establecido en ella, tendrás que respetar el contenido del RGPD. La implementación de ISO, sin embargo, es absolutamente voluntaria, aunque resulta conveniente plantearse si desea certificarse cuando la entidad se está adaptando al Reglamento. Iniciado el proceso de implementación resultará más sencillo mejorar todo el sistema de seguridad de la información.
En este sentido, los expertos señalan numerosas ventajas de la implementación de las ISO, como:
– Más facilidad para cumplir con los estándares legales.
– Ahorro en gestión de crisis al haber implementado sistemas de prevención.
– Mejor imagen y reputación en el mercado, lo que genera una ventaja competitiva.
– Mayor seguridad y transparencia, con todas las ventajas que ello acarrea.
Extra: otras ISO relacionadas
Otras ISO relacionadas con la seguridad de la información son las 27002, 27004 y 27005. Todas ellas señalan cómo gestionar riesgos de la seguridad de la información. Además, la norma ISO 22301 y la 9001 tocan tangencialmente el tema, desde las perspectivas de continuidad de negocio y control de calidad, respectivamente.
Esperamos que con esto quede clara la vinculación entre el RGPD, la ISO 27001 y otras normas relacionadas.
