Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar las cookies" para disfrutar de esta web con todas las cookies, o configura tus preferencias antes de aceptarlas.

Gestión de Cookies
Consultoría  /  Ampliación a ISO 27701 Sistema de Gestión de Información de Privacidad - Extensión a ISO / IEC 27001 e ISO / IEC 27002

Ampliación a ISO 27701 Sistema de Gestión de Información de Privacidad - Extensión a ISO / IEC 27001 e ISO / IEC 27002

Descripción

La protección de los datos de carácter personal se ha convertido en un aspecto fundamental que debe ser considerado por cualquier organización durante el desarrollo de sus actividades. El elevado volumen de información que se maneja en cualquier actividad empresarial (en particular de clientes, proveedores, trabajadores,...) así como la creciente complejidad e interconexión de los sistemas de información, ha hecho necesaria la definición de una normativa de protección de datos consistente y que permita asegurar una protección adecuada de la privacidad de las personas, y de derechos fundamentales como el derecho al honor y la intimidad. La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el ámbito europeo, y la publicación de los Estándares Iberoamericanos de Protección de Datos (que tratan de alinear las normativas de protección de datos con el citado RGPD) hacen necesario que las organizaciones públicas y privadas establezcan los mecanismos, procedimientos y políticas necesarias para cumplir con los requisitos de estas normativas, asegurando una protección adecuada de la información de carácter personal, y de los derechos de los afectados (titulares de los datos).

El incumplimiento de los requisitos de estas normativas, deriva en la falta de protección de derechos fundamentales de las personas (derecho al honor, intimidad y privacidad) y puede suponer, atendiendo a lo establecido por las normativas, elevadas infracciones o sanciones, que pueden poner en riesgo la continuidad de cualquier organización.

La ISO 27701, como extensión de la norma ISO 27001, permite que aquellas organizaciones que disponen de un Sistema de Gestión de Seguridad de la Información (SGSI) según los requisitos de la norma ISO 27001 de Seguridad de la Información, complementen esta gestión con los procesos y medidas necesarias para asegurar de forma efectiva la protección de los datos de carácter personal. Obtener la certificación según los requisitos de esta norma, permite evidenciar a terceros un cumplimiento efectivo de las normativas de protección de datos, consiguiendo consolidar la confianza de los clientes, proteger la reputación de una organización, y protegerse contra la responsabilidad legal y contra las sanciones que puedan derivarse del incumplimiento de la normativa.

En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27701:2019 

Ventajas para la ORGANIZACIÓN

  • La consideración del CONTEXTO como factor estratégico, incluyendo en el mismo los tratamientos de datos realizados por la organización;
  • Identificación de ACTIVIDADES DE TRATAMIENTO;
  • Identificación de LEGITIMACIÓN en el tratamiento de datos personales;
  • EVALUACIÓN, GESTIÓN y TRATAMIENTO de los RIESGOS, que pueden afectar a la privacidad, como elemento clave;
  • EVALUACIÓN DE IMPACTO EN LA PRIVACIDAD en los casos que sea necesario o requerido por la normativa;
  • MEDIDAS ORGANIZATIVAS, TÉCNICAS y LEGALES, para lograr la protección de la información;
  • DEFINICIÓN DE RESPONSABILIDADES en materia de seguridad de la información (considerando en los casos necesarios la figura del DELEGADO DE PROTECCIÓN DE DATOS);
  • Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, controle de red y criptográficos adecuados al nivel de criticidad de los datos;
  • Asegurar la seguridad de la información en el SERVICIO A TERCEROS y en el INTERCAMBIO de la información, incluyendo los accesos a datos por cuenta de terceros (Encargados ede Tratamiento);
  • Asegurar el cumplimiento de los derechos de los afectados en cuanto al tratamiento de sus datos (acceso, rectificación, cancelación, información,...);
  • Disponer de CONTRATOS DE CONFIABLIDAD con los empleados;
  • Cumplimiento con la LEGISLACIÓN APLICABLE en materia de protección de datos personales;
  • GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información y a la privacidad de las personas;
  • TOMA DE CONCIENCIA Y EL COMPROMISO de todas las personas involucradas en el tratamiento de datos personales;
  • Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas que realizan tareas relacionadas con la seguridad de la información y la protección de datos personales;
  • PRESERVACIÓN DE LA CONTINUIDAD de las operaciones de la organización y de las actividades de tratamiento de datos.

EJEMPLOS de Acciones Prácticas a Implementar

  • Asegurar que en el análisis de riesgos se consideran los riesgos asociados a la privacidad de las personas y a la protección de datos de carácter personal.
  • Complementar las Políticas de Seguridad de la Información con Políticas específicas de Protección de Datos de carácter personal.
  • Realizar una Evaluación de Impacto de la Privacidad, en los casos que sea requerido por la normativa
  • Establecer los procedimientos y mecanismos necesarios para interactuar con las autoridades y grupos de interés especial (Agencias de Protección de Datos).
  • Formalizar los acuerdos y contratos necesarios para asegurar la protección de datos personales cuando exista acceso a los mismos por parte de terceros.
  • Analizar la licitud de los tratamientos de datos personales, asegurando la legitimidad de los mismos según lo definido en las normativas de protección de datos (consentimiento, relación contractual, requisito legal, interés legítimo...)
  • Aplicar las medidas de seguridad necesarias, acordes con la criticidad de los datos personales manejados por la organización.
  • Desarrollar los procedimientos y mecanismos necesarios para asegurar el ejercicio de los derechos de los titulares de los datos (información, acceso, cancelación, oposición, rectificación,...).
  • Desarrollo de textos informativos adecuados para el cumplimiento del derecho de información y el principio de transparencia.
  • Reforzar las medidas de seguridad implementadas según lo definido en la ISO 27001 (Anexo A), con las medidas específicas necesarias para la adecuada protección de la información de privacidad.
  • Desarrollar el Registro de Actividades de Tratamiento en los casos que sea necesario o requerido por la normativa.
  • Definir los procedimientos, herramientas y registros necesarios para realizar una gestión adecuada de las brechas de seguridad que afecten a información de privacidad (incluyendo las notificaciones a las Autoridades de Control y partes afectadas).
  • Definir las responsabilidades necesarias para asegurar la adecuada gestión de la información de privacidad, incluyendo las figuras requeridas por las normativas de protección de datos (Delegado de Protección de Datos).
  • Formar y sensibilizar al personal en cuanto a la protección de los datos personales y al cumplimiento de las normativas relacionadas.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Ventajas para la ORGANIZACIÓN

Las organizaciones que complementan su SGSI con un Sistema de Gestión de Información de Privacidad (PIMS) según la norma ISO 27701 (extensión de ISO 27001:2013), se ven favorecidas de, entre otras, las siguientes ventajas:

  • Implementar los procesos necesarios para asegurar el cumplimiento de los requisitos internacionales relacionados con la protección de los datos de carácter personal. 
  • Permite evidenciar una adecuada gestión y proactividad en cuanto al cumplimiento de las normativas de protección de datos que sean de aplicación, y al respecto a la privacidad de las personas.
  • Desarrollar los procedimientos y mecanismos necesarios para asegurar el correcto ejercicio de los derechos de los interesados (información, acceso, rectificación, cancelación, oposición, limitación del tratamiento y portabilidad).
  • Definir de forma efectiva las responsabilidades necesarias para la gestión de la protección de datos personales en la organización, incluyendo figuras requeridas por la normativa, como el Delegado de Protección de Datos.
  • Reduce la posibilidad de infracciones o sanciones derivadas de las normativas de protección de datos, y permite  evidenciar ante las Autoridades de Control una gestión proactiva y 
  • Facilita una gestión adecuada de los riesgos relativos a la privacidad, permitiendo el establecimiento de las medidas técnicas y organizativas adecuadas.
  • Definir procedimientos y mecanismos adecuados para la gestión de las incidencias o brechas de seguridad que afecten a los datos de carácter personal.
  • Establecer un marco para la evaluación del desempeño y la mejora continua en cuanto a la protección de los datos de carácter personal.
  • En general, permite reforzar la imagen de la organización y consolidar la confianza de los clientes en cuanto al tratamiento de sus datos personales y la protección de su privacidad.

Ventajas para los CLIENTES

Implementar un Sistema de Gestión de la Información de Privacidad (PIMS) permite a sus clientes:

  • Incrementar su confianza en cuanto a la gestión de la información personal por parte de la organización.
  • Obtener garantías de que se respetan los derechos que la normativa de protección de datos otorga a los titulares de los datos (acceso, rectificación, cancelación, información,...).
  • Tener evidencia fiable de la adecuada protección de sus derechos al honor, intimidad y privacidad.
  • Mantenimiento de la integridad, confidencialidad y disponibilidad de la información de los clientes según sus necesidades.
  • Tener un conocimiento claro de cómo se trata su información personal por parte de la organización.
  • Tener evidencias de una gestión y protección adecuada frente a los riesgos que puedan afectar su información personal.
  • Disponer de los mecanismos necesarios para una adecuada gestión de las posibles incidencias que puedan afectar a sus datos.

Ventajas para el MERCADO

En general, en un mercado y en una sociedad cada vez más dependiente de la información y, en particular, de los datos de carácter personal, implementar un Sistema de Gestión de Información de Privacidad permite:

  • Servir como elemento distintivo y diferenciador frente a la competencia, ofreciendo garantías de una gestión eficaz de los datos personales.
  • En general, reforzar la imagen de la organización a terceros y a las diferentes partes interesadas.
  • Evidenciar de forma eficaz el cumplimiento de los requisitos respecto a la normativa de protección de datos, siendo este un aspecto cada vez más requerido para posibilitar la participación en proyectos y, en especial, en concursos públicos.
  • Favorece el mercado internacional, estableciendo requisitos de protección de datos con un enfoque internacional y considerando los requisitos de las diferentes normativas de protección de datos
  • Imagen de empresa comprometida con la protección de la privacidad.
  • Garantía a terceros del cumplimiento de la normativa de protección de datos.

Sectores de APLICACIÓN

La protección de los datos de carácter personal se ha convertido en un aspecto fundamental que debe ser considerado por cualquier organización durante el desarrollo de sus actividades. El elevado volumen de información que se maneja en cualquier actividad empresarial (en particular de clientes, proveedores, trabajadores,...) así como la creciente complejidad e interconexión de los sistemas de información, ha hecho necesaria la definición de una normativa de protección de datos consistente y que permita asegurar una protección adecuada de la privacidad de las personas, y de derechos fundamentales como el derecho al honor y la intimidad. La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el ámbito europeo, y la publicación de los Estándares Iberoamericanos de Protección de Datos (que tratan de alinear las normativas de protección de datos con el citado RGPD) hacen necesario que las organizaciones públicas y privadas establezcan los mecanismos, procedimientos y políticas necesarias para cumplir con los requisitos de estas normativas, asegurando una protección adecuada de la información de carácter personal, y de los derechos de los afectados (titulares de los datos).

El incumplimiento de los requisitos de estas normativas, deriva en la falta de protección de derechos fundamentales de las personas (derecho al honor, intimidad y privacidad) y puede suponer, atendiendo a lo establecido por las normativas, elevadas infracciones o sanciones, que pueden poner en riesgo la continuidad de cualquier organización.

La ISO 27701, como extensión de la norma ISO 27001, permite que aquellas organizaciones que disponen de un Sistema de Gestión de Seguridad de la Información (SGSI) según los requisitos de la norma ISO 27001 de Seguridad de la Información, complementen esta gestión con los procesos y medidas necesarias para asegurar de forma efectiva la protección de los datos de carácter personal. Obtener la certificación según los requisitos de esta norma, permite evidenciar a terceros un cumplimiento efectivo de las normativas de protección de datos, consiguiendo consolidar la confianza de los clientes, proteger la reputación de una organización, y protegerse contra la responsabilidad legal y contra las sanciones que puedan derivarse del incumplimiento de la normativa.

En esta ficha podrá descargar una práctica presentación en PDF de la Norma ISO/IEC 27701:2019 

Solicitud de Información

A Servícios Normativos Portugal, S.L. - Sucursal, com sede na Av. Visconde de Valmor 66, 4º andar - 1050-242 Lisboa, Portugal, com o número único de matrícula na Conservatória do Registo Comercial de Lisboa e de pessoa coletiva 980376521 (doravante designada por INTEDYA PORTUGAL), procede à recolha e tratamento de dados pessoais dos seus clientes.

De acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, informamos que os dados pessoais, que nos transmite através deste formulário, serão utilizados pela Intedya Portugal de forma a dar-mos resposta ao seu pedido de informações.

Os dados pessoais marcados com (*) são imprescindíveis para tratar e responder ao seu pedido de informações, sendo os restantes campos de preenchimento opcional. A Intedya Portugal unicamente comunicará os seus dados aos escritórios pertencentes à sua rede dentro da Intedya - International Dynamics Advisors, para que o seu pedido de informação possa ser respondido. Nem a Intedya Portugal, nem nenhum outro escritório da rede utilizará os seus dados com finalidades distintas às indicadas e autorizadas pelos titulares dos mesmos. Informamos que a qualquer momento poderá: retirar o consentimento para o tratamento dos dados pessoais; proceder ou solicitar a correção de qualquer dado pessoal que o Titular dos dados pessoais tenha fornecido; opor-se a que os mesmos sejam utilizados para efeitos de marketing e/ou publicitários; solicitar a eliminação de todos os dados pessoais que tenha fornecido pelo presente meio, e que não sejam necessários para o cumprimento de quaisquer obrigações legais pela entidade responsável pela recolha dos mesmos; ser informado pela Intedya Portugal se esta, eventualmente, tiver intenção de proceder ao tratamento dos dados pessoais para outros fins que não os que, pelo presente é dado consentimento.

Para quaisquer informações, assim como para o exercício dos direitos que lhe são legalmente conferidos, o Cliente deve contactar a Intedya Portugal solicitando por escrito para a morada abaixo indicada ou por email para geral@intedya.pt.

Morada para anulação do consentimento: 
Intedya Portugal
Servícios Normativos Portugal, S.L. - Sucursal
Av. Eng. Arantes e Oliveira 3, R/C, escrt 23
1900-221 Lisboa

Para obter mais informações sobre o uso dos dados pessoais, assim como sobre o cumprimento dos princípios, requisitos e direitos reconhecidos pelo Regime Geral de Proteção de Dados, a Intedya Portugal disponibiliza a sua Política de Privacidade.


Ao marcar esta caixa, você aceita o processamento de seus dados nos termos indicados, a fim de cumprir com o serviço solicitado, e confirmo que leu e aceitou a Política de Privacidade da INTEDYA. (*) Aceitação obrigatória

Ao marcar essa caixa, você também aceita o processamento de seus dados para enviar um boletim informativo ou informações sobre nossos produtos ou serviços.
Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.

Reconocimientos y participación

Titulaciones certificadas por la Universidad Isabel ICursos Universitarios de Especialización UEMCStaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International EducationAlianza con Prevensystem