Normes ISO per complir el RGPD

Eines a normes ISO per complir el Reglament General de Protecció de Dades

Bases per complir el RGPD

Complir el RGPD implica la protecció de dades personals (nom, ubicació, identificador online, informació, ingressos, perfil cultural entre altres), inclosos identificadors en línia com ara adreces IP i cookies, així com informació de targetes de crèdit i de salut.

El Reglament General de Protecció de Dades (RGPD) assegura que les dades personals sols es conservin amb el consentiment explícit del client, de que sols es facin servir pel propòsit pel que es varen obtenir i de que no s’emmagatzemin durant més temps del necessari. No sols el permís per fer servir les dades haurà de ser clar i concís, sinó que els usuaris també podran revocarlo a qualsevol moment, o sol·licitar el “dret a l’oblit” d’una persona. El compliment de les normes ISO que escaiguin, garanteix la implementació efectiva de les millors pràctiques per protegir les dades personals i mitigar els riscos.

Les organitzacions han de seguir unes pautes estrictes per garantir que les dades siguin sempre precisos i es processin de forma justa i consistent.

Normes ISO vinculades amb el Reglament General de Protecció de Dades

Un certificat ISO 9001 de gestió de la qualitat requereix el compliment de tots els requisits normatius, inclosa la protecció de dades de caràcter personal. Les següents normes ISO que destaquem son eines provades sobre la seguretat de les dades , i les millors pràctiques a la implantació, manteniment i millores continues dels controls:

  • ISO/IEC 27001 Tècniques de seguretat. Sistemes de gestió de la seguretat de la informació. Requisits.  Una empresa que ha implementat aquesta norma ja ha fet almenys la meitat del treball per aconseguir el compliment del RGPD en minimitzar el risc d’un incompliment. La Norma ISO/IEC 27001 identifica els riscos potencials per les dades de clients i parts interessades i garanteix que les organitzacions implementin els controls necessaris per mitigar-los. Requereix encriptació, proves i avaluació de riscos, així com, en cas d’accident, la capacitat de restablir l’accés a dades personals amb rapidesa. Abarca els processos per protegir la captura, la responsabilitat, la disponibilitat, la integritat i la confidencialitat de les dades.
  • ISO/IEC 19592-1 e ISO/IEC 19592-2 Tecnologia de la informació. Tècniques de seguretat. Compartició de secrets, defineixen les millors pràctiques a les tècniques criptogràfiques fetes servir per protegir la confidencialitat dels missatges (“compartició de secrets”) en termes de requisits generals i mecanismes fonamentals.  Aquestes tècniques es poden fer servir per emmagatzemar dades confidencials de forma segura a sistemes distribuïts.
  • ISO/IEC 29100 Tecnologia de la informació. Tècniques de seguretat. Marc de privacitat, descriu un marc per la protecció de la informació d’identificació personal (PII) dins de la tecnologia de la informació i la comunicació.
  • ISO/IEC 27018 permet a les organitzacions gestionar qüestions de seguretat relacionades amb la PII al núvol.
  • ISO/IEC 29101 Tecnologia de la informació. Tècniques de seguretat. Marc de l’arquitectura de la privacitat. Identifica un marc i controls associats per la protecció de la privacitat als sistemes TIC que emmagatzemen i processen la PII.
  • ISO/IEC 29187-1 Tecnologia de la informació. Identificació de requisits de protecció de la privacitat relacionades amb l’aprenentatge, l’educació i la formació, pren en compte els requisits de política pública que controlen la creació, l’ús i l’intercanvi de dades personals, així com la gestió del cicle de vida de la informació. Aquests inclouen, entre altres, regulacions per la protecció del consumidor, la privacitat i l’accessibilitat individual.
  • ISO/IEC 17024 estableix els requisits generals per la certificació del personal, mentre que ISO/IEC 17065 inclou els requisits per la certificació de productes, processos i serveis. Ajuda a que el personal tècnic responsable de la gestió de dades tingui la formació, el coneixement i les habilitats requerides.

Les normes ajuden a protegir la reputació de l’empresa  ide la marca i minimitzar la publicitat adversa en donar als clients confiança en la fiabilitat dels sistemes als que els hi han confiat les seves dades. Els sistemes de gestió de la seguretat de la informació donen les eines per ajudar a complir el RGPD. Fan servir informació confidencial de forma eficient i efectiva, sempre d’acord amb el marc regulatori.

Per protegir la reputació de la marca i la gestió de la Corporate Compliance, destaquem les següents normes:

About Jordi Gabarró Sust 146 Articles
És consultor en sistemes de gesyió a EmasConsultors, amb més de 20 anys d’experiència. Té àmplia experiència en tot tipus de sectors, destacant les platges i el turisme, tant a la gestió ambiental, qualitat com la responsabilitat social. EmasConsultors és una consultoria estratègica i de sistemes de gestió de qualitat, gestió ambiental, gestió de la seguretat i responsabilitat social.