Con la entrada en vigor del RGPD y su posterior adaptación a la legislación española con la LOPDGDD, se incluyó la posibilidad de ayudar a empresas y organizaciones a verificar que cumplen con las leyes y demostrar el principio de responsabilidad proactiva (art. 24 RGPD) a través de estándares o recomendaciones, así como certificaciones.

Art. 24.3 RGPD.

“La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Mecanismos de certificación.

Por lo que, el RGPD ha incluido esta posibilidad mediante la incorporación del art. 42 del RGPD, que señala en su apartado 1 que “1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados”.

En este sentido, la International Organization for Standardization, (ISO), junto con la International Electrotechnical Commission (IEC), han creado una serie de estándares de seguridad de la información (la familia 2700x).

Así, en 2005, la norma ISO 27001 se convirtió en una norma internacional de referencia para gestionar y garantizar la seguridad de la información en empresas y organizaciones. Junto a ésta, la norma ISO 27002 proporciona una serie de buenas prácticas para la gestión de la seguridad de la información, abogando por preservar la confidencialidad, integridad y disponibilidad de la misma.

Medidas de seguridad a aplicar.

Como hemos comentado anteriormente en otros apartados, ni el RGPD ni la LOPDGDD contienen un listado de las medidas a aplicar. Una buena práctica sería guiarse por los controles del Anexo A de la norma ISO/IEC 27001 [1] y las directrices de la norma ISO/IEC 27002, diseñada para ayudar a organizaciones a seleccionar e implementar los controles de la ISO 27001.

El Anexo A de la ISO 27001 se estructura en 14 secciones, y en cada una se especifican los objetivos y controles para la seguridad de la información. Certificarse en la ISO 27001 requiere implementar los 114 controles, salvo que alguno de ellos no aplique a la organización.

No obstante, para cumplir el RGPD no es necesario certificar el cumplimiento de la ISO 27001, y basta con adoptar los controles que se consideren suficientes (previo análisis de riesgos) para garantizar la confidencialidad, integridad y disponibilidad en niveles adecuados.

Así, según las necesidades de la organización, pueden implementarse algunos de los siguientes controles (la norma ISO 27001 explica y detalla cada uno de los controles).

Protección de datos: Publicada la norma ISO/IEC 27701:2019

Por otra parte, la primera edición de la norma ISO / IEC 27701: 2019 – Tecnología de la información – Técnicas de seguridad – Extensión a ISO / IEC 27001 y a ISO / IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices se publicó en agosto de 2019, con la intención de adaptar determinados controles de la ISO 27001 de manera específica a la privacidad de los datos.


[1] ISO/IEC 27001:2013, incluyendo Cor 1:2014 y Cor 2:2015).