ISO 27701 es una extensión de privacidad al estándar sobre sistemas de gestión de seguridad de la información que goza de reconocimiento global, ISO/IEC 27001. Proporciona una guía para la gestión de la privacidad de la información y facilita a las organizaciones demostrar su cumplimiento de los requerimientos del RGPD (Reglamento General de Protección de Datos). Esta norma proporciona un marco para el proceso de la información de carácter personal (PII) y ayuda a las organizaciones que se declaran «Controladores» o «Procesadores» a cumplir con los requerimientos de privacidad de sus clientes.
Rob Acker, Director técnico de LRQA, comenta: «Aunque ISO/IEC 27701 es una extensión a ISO/IEC 27001, es importante verla como una mejora en la gestión del riesgo, más que como una serie de controles adicionales». «Aunque ISO/IEC 27001 es un buen punto de partida, ampliar un sistema de gestión de seguridad de la información para incorporar la gestión de la privacidad refuerza el alcance».
Conforme a la Encuesta Global de Privacidad del Consumidor EY 2020, un 63 % de los consumidores considera que las prácticas de recogida y almacenamiento de datos de una organización son el factor más importante a la hora de compartir información sensible con la organización.
Rob Acker continúa: «El procesamiento de información de carácter personal se lleva a cabo de la misma manera en todas las organizaciones, pero el volumen de datos y los tipos de datos están aumentando y evolucionando con la economía digital. Por ello, mitigar los riesgos asociados con el procesamiento de información resulta crítico. Es especialmente importante dado que una filtración de datos puede tener un gran alcance y ser extremadamente perjudicial para la marca de una organización».
Al trabajar con auditores experimentados, las organizaciones deberán cuestionarse cómo se manipula la información de carácter personal y si los procesos implementados son adecuados.
«La confianza es crítica a la hora de interactuar con los clientes, por lo que proporcionarles un motivo para confiar su información personal a una organización resulta clave», asegura Rob Acker. «Resulta crítico que los controladores y procesadores de información de carácter personal sean conscientes de sus funciones y responsabilidades para garantizar que todo el mundo sepa quién es responsable». «Según avanzamos más hacia una economía basada en servicios, las colaboraciones a lo largo de la cadena de suministro resultarán fundamentales en este sentido, lo que hace necesaria una cooperación entre organizaciones».