- In:
- Posted By: webadmin
La protección de datos personales es un requerimiento normativo-legal que impacta a las organizaciones, por este motivo hemos desarrollado un equema que nos permita abordar y comprender como las normas ISO nos pueden ayudar a cumplir con esta responsabilidad.
Lo primero que debemos entender es que la protección de datos personales es un tema que compete a la organización completa y que debe ser abordado desde la mas lata instancia, en esto seria el órgano de gobierno corporativo o el nivel de gobernanza organizacional, este nivel puede delegar responsabilidades y es en este nivel donde podemos recomendar algunas normas que nos ayuden.
Debo señalar que existen normas especificas sobre protección de datos personales y privacidad (como ISO/IEC 29100 y otras) pero en esta oportunidad me voy a referir a 4 normas de aplicación estratégica en la organización, así vamos comentando que aporta cada una.
ISO/IEC 38500.- Corresponde a las decisiones de mayor nivel en la organización,pero que involucren el uso actual y futuro de T.I., es de particular importancia cuando se tiene gran parte de los datos personales procesados por sistemas de información, esta norma nos ayuda a comprender como establecer un modelo de gobernanza para T.I. de modo que las obligaciones regulatorias (entre otros factores) puedan ser adecuadamente abordados por la organización..
ISO 31000 .-La gestión del riesgo es uno de los instrumentos clave de la gobernanza organizacional, en ese sentido ISO 31000 nos ayudara a comprender como los principios de gestión del riesgo son estratégicos para generar y proteger el valor organizacional y nos ayuda a entender porque un framework organizacional puede ser un eje estratégico para la toma de decisiones a todo nivel dentro de la organización.
ISO/IEC 27701.- Recientemente publicada, esta nueva norma con base en ISO/IEC 27001:2013 nos ayuda a comprender como gestionar la protección de datos personales con un enfoque centrado en el riesgo y para ello se basa en directrices de gobernanza organizacional y del órgano de gobernanza T.I.,utilizando la gestión del riesgo como eje central para mantener un alineamiento organizacional de cumplimiento normativo peo sin afectar negativamente los objetivos del negocio.
ISO/IEC 27005.- Es una norma que nos ayudara a entender como desarrollar el proceso de gestión de riesgos de seguridad de la información e integrarse con el framework de ISO 31000 y los requisitos adicionales de ISO/IEC 27701, una norma que es interesante no solo por los detalles sobre el proceso de gestión de riesgos de seguridad de la información que contiene sino por la cantidad de ejemplos útiles que desarrolla en sus anexos.
Como se pude observar,cada una de estas normas nos permite abordar un aspecto estratégico u operacional referido a la obligación de proteger los datos personales.
Si desea conocer mas de estas normas, puede contactarnos en info@gtdi.pe
