El cuidado de la información personal y el control de la seguridad son requisitos indispensables en las funciones de una empresa. Para atender dicha necesidad, un estándar internacional como el ISO/IEC 29100 resultará una garantía importante.
El ISO/IEC 29100 es un estándar internacional enfocado en la privacidad de los datos. Proporciona un marco de alto nivel para la protección de datos personales dentro de los sistemas de tecnología de la información y la comunicación (TIC).
El ISO/IEC 29100 (Más Información) es de naturaleza general y ubica a los aspectos organizacionales, técnicos y procedimientos “en un marco de privacidad”. El objetivo de este marco normativo, “es dar soporte a las organizaciones en la definición de los requerimientos para salvaguardar la privacidad en cualquier sistema en que se procese información, que está vinculada a los datos personales”. Esto se ejecuta “sin dejar de lado las leyes locales, sino complementándose con ellas”.
Como parte de esta norma, los requisitos para la protección de la privacidad se presentan en forma de once principios y conllevan a un mejor tratamiento de los datos personales:
- Consentimiento y elección. Con este principio, una persona, mediante un permiso, puede escoger el procesamiento o no de sus datos. Además, se le brinda detalles sobre sus derechos de participación y acceso.
- Propósito de legitimidad y especificación. Se ejecuta con las leyes aplicables y, antes de que la información sea reunida, se le informa al titular el propósito del tratamiento de datos.
- Limitación de la colección. Debe ser limitada a las urgencias del propósito especificado. Además, se realiza bajo las consideraciones de las leyes aplicables.
- Minimización de datos. Acude al principio de necesidad de saber con el fin de brindarle acceso a los datos al personal requerido. Además, se borran los datos que tengan propósitos expirados.
- Limitación de uso, retención y divulgación. Se realiza de acuerdo a los propósitos explícitos, específicos y legítimos establecidos.
- Precisión y calidad. Este principio busca que los datos procesados sean exactos, actualizados y relevantes para el propósito de uso.
- Franqueza, transparencia y aviso. Proporciona al titular la información de las políticas de procesamiento.
- Participación y acceso individual. Brinda facilidades al titular para que revise sus datos. Además, determina procedimientos para que los dueños de los datos logren ejercer sus derechos veloz y eficientemente.
- Responsabilidad. Entre otras cosas, da información al titular si surge una brecha de seguridad que perjudique sus datos.
- Seguridad de información. Establece controles operativos, estratégicos y funcionales con el fin de garantizar la confidencialidad e integridad de los datos personales.
- Cumplimiento de privacidad. Mediante auditorías periódicas, se hace una verificación de todos los niveles de protección de los controles de seguridad.
Este estándar, tampoco es un sistema de gestión. No es certificable. Los entes certificadores después de una evaluación emiten un certificado de cumplimiento con el estándar.
El ISO/IEC 29100, es también un diferenciador estratégico para empresas proveedoras de servicios en la nube.