PIMS (Sistemas de gestión de privacidad). ¿Qué es y cómo beneficia?

Un blog editado por ISOTools Excellence

Seguridad de la Información

Blog especializado en Seguridad de la
Información y Ciberseguridad

cerrojo

PIMS (Sistemas de gestión de privacidad). ¿Qué es y cómo beneficia a la organización?

PIMS (Sistemas de gestión de privacidad). ¿Qué es y cómo beneficia a la organización?

PIMS

PIMS

La norma ISO/IEC 27701 Técnicas de seguridad especifica los requisitos y proporciona orientaciones para establecer, implementar, mantener y mejorar de manera continua un PIMS o Sistema de Gestión de Información de Privacidad. Este estándar internacional constituye una extensión de la norma ISO/IEC 27001 y de la norma ISO/IEC 27002 para la Gestión de la Información de Privacidad dentro del contexto de la organización o empresa.

La norma ISO/IEC 27701 fue publicada por ISO (International Organization for Standardization) en agosto de 2019 la norma ISO/IEC 27701. La ISO/IEC 27701:2019 se desarrolla dada la necesidad de poder someter a certificación el PIMS o Sistema de Gestión de Información de Privacidad.

 

ISO/IEC 27701

La ISO/IEC 27701 especifica los requisitos relacionados con el sistema de gestión de la Privacidad o PIMS. Esta norma internacional ofrece orientación tanto para los responsables del tratamiento de la información como para los encargados de dicho tratamiento.

Esto hace referencia a toda la información de identificación personal (PII) que tienen responsabilidad del procesamiento de los datos personales. Los responsables del tratamiento y/o los encargados de dicho tratamiento que hayan implementado previamente la norma ISO/IEC 27001 podrán usar la ISO/IEC 27701 para ampliar sus esfuerzos de seguridad.

Este estándar será de utilidad para cubrir la gestión de la privacidad, incluyendo el procesamiento de datos personales o PII. De este modo contarán con ayuda a la hora de demostrar el cumplimiento, lo que se conoce como responsabilidad proactiva, de las leyes de protección de datos, como es el Reglamento General de Protección de Datos o RGPD en caso de la Unión Europea.

 

ISO 27001 e ISO 27701

Las empresas u organizaciones que no cuenten con un Sistema de Gestión de Seguridad de la Información (SGSI) también pueden implementar ISO 27001 e ISO 27701 de forma conjunta, como un único proyecto de implementación. Esto es así porque la norma ISO/IEC 27701 únicamente extiende los requisitos y la orientación proporcionados por ISO 27001 y su código de práctica, la ISO 27002.

Es por ello por lo que no hay necesidad de combinar dos sistemas de gestión separados. La norma ISO 27701 se ha diseñado para que todos responsables del tratamiento y/o los encargados de dicho tratamiento puedan utilizarla en el tratamiento de datos personales.

Del mismo modo que la norma ISO/IEC 27001, la ISO/IEC 27701 aboga por un enfoque basado en riesgos. Este estándar se puede aplicar a todos los tipos y tamaños de organizaciones. Esto incluye empresas públicas y privadas, entidades gubernamentales y organizaciones sin ánimo de lucro.

 

Alcance de la norma ISO/IEC 27701

La principal aplicación prevista para la ISO/IEC 27701 es extender el SGSI existente en la compañía con una serie de controles específicos de privacidad. De este modo, será posible crear PIMS que permitan establecer una gestión de privacidad efectiva dentro de la organización.

Un PIMS robusto cuenta con una serie de beneficios potenciales tanto para los responsables y como para los encargados de PII. Pueden mencionarse estos tres beneficios significativos:

 

  • Cumplimiento de los requisitos de privacidad

Alcanzar el cumplimiento de los requisitos de privacidad, como leyes y regulaciones, acuerdos con terceros o políticas de privacidad corporativas, puede suponer una carga. Esto es así especialmente si los requisitos no están organizados de manera efectiva para los controladores y procesadores PII.

Las organizaciones que cuentan con distintas obligaciones en materia de cumplimiento de privacidad se enfrentan a una serie de cargas adicionales para conciliar, satisfacer y vigilar todos los requisitos que le son aplicables.

 

  • Gobernanza y garantía

Lograr y mantener el cumplimiento de los requisitos que son aplicables es una cuestión de gobernanza y garantía. Con base en el PIMS es posible proporcionar la evidencia necesaria para asegurar a las partes interesadas, como pueden ser la alta gerencia, propietarios o autoridades, que se cumplen los requisitos de privacidad aplicables.

 

  • Comunicación del cumplimiento de la privacidad

La certificación PIMS puede ser valiosa para comunicar el cumplimiento de la privacidad a clientes y socios. Los responsables PII normalmente solicitan pruebas de los encargados PII de que el sistema de gestión de privacidad cumple con todos los requisitos que le son aplicables.

Un marco de pruebas uniforme basado en estándares internacionales puede simplificar la transparencia en la comunicación de cumplimiento. Esto es así especialmente cuando la evidencia es validada por un auditor externo acreditado.

La necesidad de transparencia en la comunicación del cumplimiento también es crítica para las decisiones comerciales estratégicas, como fusiones y adquisiciones. Ocurre de igual modo en escenarios que involucran un acuerdo de intercambio de datos.

Por último, no puede perderse de vista que la certificación PIMS es de gran utilidad para transmitir confianza.

 

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, genera los requisitos necesarios para poder implementar un SGSI de forma rápida y sencilla. Además, el Software ISOTools para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa u organización.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 4,00 out of 5)
Cargando...