Las isos: las aliadas en el cumplimiento de la privacidad
La protección de datos personales se ha convertido en un asunto de vital importancia para las instituciones y estados europeos, por ello debería serlo también para la alta dirección de las organizaciones y sus departamentos.
Las repercusiones del incumplimiento de GDPR, pueden poner en entredicho la viabilidad y continuidad del negocio de muchas empresas, o al menos sus balances económicos, disminuyendo sus ingresos netos por pérdidas de clientela, mala reputación y sanciones.
Por todo ello, es útil el establecimiento de sistemas de gestión de la información basados en reglas transparentes que aseguren entre otras cosas una cultura corporativa de respeto a la privacidad, de cumplimiento de la legalidad vigente y de respuestas rápidas y proporcionales a posibles brechas de seguridad y/o fuga de datos.
Para diseñar e implementar dichos sistemas de gestión, existen herramientas normativas, las denominadas normas ISOS, tales como la ISO/IEC 27001 – Seguridad de la Información, o la ISO/IEC 27018 – protección de información personal en la nube, la ISO 27032 que apunta principalmente a proporcionar una guía de seguridad cibernética, o las ISOS relativas a metodologías de gestión de riesgos como la ISO 27005 …
Estas ISOS no serán de aplicación en su integridad, ni todos sus apartados van destinados específicamente a garantizar la seguridad de la información, ni todos los aspectos del GDPR UE, están cubiertos por las mismas, pero si nos servirán de guía y recomendación para alcanzar rápidamente el cumplimiento con el RGPD UE y sobre todo evidenciarlo.
De las ISOS nombradas, la ISO 27001, es el marco de trabajo por antonomasia para la protección de la información, y por tanto su implementación supondrá la identificación y protección de datos personales como un recurso más de seguridad de la información, con lo que una gran parte de los requerimientos del RGPD UE serán cubiertos con su aplicación.
La serie de normas ISO 27000 pueden ayudar a lograr el cumplimiento del GDPR en aspectos tan importantes como la evaluación del Riesgo, la gestión de brechas de seguridad, la privacidad por diseño, la destrucción o eliminación de datos en la nube, la protección de confidencialidad, la integridad y la disponibilidad, a través de los controles detallados en sus anexos.
Pero no solo estas ISOS reinas de la seguridad de la información, la serie 27000 y concretamente la ISO 27001, son útiles para cumplir y evidenciar el cumplimiento de GDPR sino que otras ISOS ajenas inicialmente a este ámbito pueden servir de referencia y recomendación para los DPO y auditores de las organizaciones como la ISO 31000( gestión del riesgo en general), o la ISO 19600 relativa a técnicas de COMPLIANCE.
Concretamente las técnicas y/o recomendaciones de “Compliance” de la ISO 19600, hasta ahora usada más en el “Compliance penal”, pueden ser usadas como ayuda en el cumplimiento y prueba del mismo de la parte “soft law” del GDPR, relativa al principio de “accountability”, eje vertebrador de todo el reglamento (Art.24 a 39).
La ISO 19600 nos ayudará a detectar y gestionar los riesgos relacionados con el incumplimiento de las obligaciones, que pueden incluso llevar a la comisión de ilícitos penales como delitos contra la intimidad, revelación de secretos, y propia imagen, delito de descubrimiento y revelación de secretos, uso de medios o programas informáticos para vulnerar la intimidad o revelar los secretos, la comisión del delito de revelación de secretos por sus relaciones laborales o profesionales.
Pero, ¿Es suficiente implementar las normas ISOS y disponer de certificaciones para considerar cumplido el GDR?.
En primer lugar diremos que nunca será suficiente si el cumplimiento es solo formal, pero aun en el caso de un cumplimiento efectivo, algunos controles deben ser adaptados o algunas medidas deben ser incluidas para que la organización, ya sea responsable o encargado, asegure el cumplimiento con el RGPD UE, tales como el procedimiento para asegurar el ejercicio de los derechos de los interesados, los mecanismos para la transferencia de datos fuera de la UE, el contenido mínimo de la evaluación de impacto en protección de datos, y procedimientos que pueden seguirse en caso de violación de datos personales.
Por otro lado, el cumplimiento material no es solo control técnico y legal, ni cuestión de normas, ISOS, reglamentos, documentación formal, evidencias y sanciones sino de una cultura de empresa, concienciación e implicación de la alta dirección y personal, y en este aspecto las ISOS también ayudan dotando de un marco especifico que obliga a reflexionar sobre el cumplimiento, a reportar incidencias, a repensar una y otra vez mejoras y mecanismos que impidan la repetición de incidentes de seguridad, en definitiva un proceso de mejora continua en la que todos los actores de la organización están implicados, dirección y personal.
En definitiva, las ISOS serán el camino a seguir para el cumplimiento sistematizado de RGPD, y por ende, la implicación de los departamentos de calidad, jurídico y técnico es imprescindible, el engranaje perfecto para el RGPD.
