Implementa la norma ISO 27701
Las herramientas de OneTrust ayudan a que tu empresa obtenga la certificación ISO 27701.
Descubre cómo OneTrust consiguió la primera certificación ISO 27701 del mundo.
La ISO 27701 es una extensión de la ISO/IEC 27001 en materia de privacidad que establece requisitos adicionales y proporciona orientación para salvaguardar de la privacidad, ya que puede verse afectada por el tratamiento de datos personales. A medida que aumenta el solapamiento de las normativas de privacidad y seguridad, también aumentan los llamamientos a nuevas formas de colaboración entre estos dos equipos, a una comunicación más eficaz y al uso de herramientas comunes. La tecnología es necesaria para el mantenimiento y la mejora continua de un Sistema de Gestión de Información de Privacidad (PIMS) de acuerdo con la norma ISO 27701 (antes conocida como “ISO 27552”), así como para la planificación y aplicación de las leyes y marcos internacionales de privacidad.
La norma ISO 27701 incluye una hoja de ruta para determinar los factores internos y externos que podrían afectar a la privacidad (incluidos los intereses de terceros) para determinar el alcance y el contexto, para luego crear políticas y procedimientos acordes. Emplea la plantilla de planificación del Sistema de Gestión de Información de Privacidad (PIMS) de la norma ISO 27701 de la plataforma de OneTrust para tomar decisiones sobre el PIMS de acuerdo con la cláusula 5 de la norma ISO 27701:
Evaluación de tu organización y su contexto
Comprensión de las necesidades y expectativas de las partes involucradas
Determinación del alcance del PIMS
Identificación de las funciones y responsabilidades. Y mucho más.
La norma ISO 27701 exige que se cree, revise, actualice y controle adecuadamente una cantidad considerable de documentación a lo largo de la vida del Sistema de Gestión de Información de Privacidad (PIMS). Esta documentación es vital para la eficacia y la mejora continua del Sistema de Gestión de Información de Privacidad, así como para lograr y mantener la certificación. Utiliza el repositorio de documentos en OneTrust para:
Almacenar y organizar la documentación del Sistema de Gestión de Información de Privacidad
En una ubicación centralizada
Accesible para el equipo del del PIMS y personal que necesite acceder a ella
La cláusula 5.5 de la norma ISO 27701 exige que los empleados y los contratistas sean conscientes de la política de privacidad de la organización, de sus contribuciones individuales, de sus funciones y responsabilidades en el PIMS, y de las consecuencias de no cumplir con los requisitos. El anexo A/B exige que todos los empleados y contratistas reciban formación y entrenamiento sobre la privacidad de la información, así como actualizaciones periódicas sobre las políticas y procedimientos aplicables. Las plantillas de formación de OneTrust, como la plantilla “Test y certificación de Privacidad y Seguridad”, pueden ayudarte:
Comprueba la eficacia de la formación para la concienciación
Registra las declaraciones de los empleados sobre el correcto uso de las políticas o los documentos de responsabilidad de los empleados
La cláusula 5.7 exige que se realicen auditorías internas del ISMS con respecto a la norma ISO/IEC 27701:2019 (incluyendo toda la cláusula 5 y los controles aplicables del Anexo A/B). Además, la cláusula 5.7.3 exige que se realicen revisiones de gestión del ISMS en intervalos planificados. Utiliza la plantilla de la lista de control para auditorías ISO 27701 de OneTrust:
Cuestionario totalmente personalizable basado en la norma ISO 27701
Ayudar a realizar auditorías internas o externas para evaluar la madurez y eficacia del PIMS
Realizar un seguimiento de los planes de medidas correctivas
Genera un informe de auditoría con: resumen de las respuestas, comentarios y pruebas adjuntas
Los anexos A.7.2.8 y B.8.2.6 recomiendan que las organizaciones establezcan qué registros son necesarios para respaldar sus obligaciones de tratamiento, así como que los mantengan y conserven. Las organizaciones deben crear y mantener un inventario o lista detallada de todas las actividades de tratamiento de datos personales. Con OneTrust puedes llevar un registro y mapear:
Inventarios de los activos y proveedores de tu organización
Riesgos asociados a cada uno y sus propietarios dentro de la organización
Información sobre cómo y por qué se recogen, utilizan, almacenan y transfieren los datos
Diagramas de flujo de datos y herramientas para facilitar el análisis y la comunicación ejecutiva
La cláusula 5.4 requiere la creación de una metodología detallada de evaluación de riesgos que incluya criterios sobre cómo identificar los diferentes niveles de riesgo. A continuación, la cláusula 5.6 exige la aplicación de estos planes, por ejemplo, siguiendo la metodología de riesgos al realizar las evaluaciones de riesgos, estableciendo planes de tratamiento de riesgos y haciendo un seguimiento de los mismos hasta su finalización, calculando el riesgo residual y garantizando que todo ello se documente de forma controlada. Utilice el módulo de Automatización de evaluaciones de OneTrust y una amplia galería de plantillas de cuestionarios:
Identifica y calcula los riesgos como resultado del tratamiento de los datos personales
Elaborar y sigue los planes de prevención de riesgos
Según la cláusula 6.12.1.2, las organizaciones deben incluir cláusulas específicas en los contratos con subcontratistas. La cláusula 7.2.6 establece que los contratos entre la organización y cualquier encargado del tratamiento de datos personales deben exigir la aplicación de los controles adecuados del anexo B. La cláusula 7.5 recomienda que las organizaciones determinen y documenten la base aplicable para las transferencias internacionales de datos personales. Emplea OneTrust Vendorpedia, nuestro software de gestión de riesgos de terceros:
Automatiza el ciclo de vida de la contratación de proveedores
Todo el ciclo de vida: desde su incorporación hasta la finalización del contrato
Ayuda a obtener y mantener la certificación ISO 27701.
La cláusula 6.13.1.1 establece que el proceso de gestión de incidentes de una organización debe presentar responsabilidades y procesos relacionados con la identificación y el registro de las brechas en el tratamiento de datos personales. OneTrust puede utilizarse para poner en marcha políticas y procedimientos de gestión de incidentes:
Notificación de incidentes y puntos débiles en la seguridad
Mantenimiento de registros de incidentes y brechas
Evaluación de las obligaciones de notificación de brechas
Análisis del riesgo en relación a actividades de tratamiento, activos y proveedores
El anexo A.7.3 detalla que los individuos deben recibir la información adecuada sobre el tratamiento de sus datos personales. Una organización debe establecer, documentar y mantener sus obligaciones para con los individuos tal y como exigen los requisitos legales y empresariales. OneTrust proporciona:
Formulario estandarizado de recepción de las solicitudes
Gestión de las solicitudes de derechos de la privacidad en un sistema centralizado
Empleando tu imagen de marca y vinculado a la política de privacidad de tu web
Notificaciones de las solicitudes recibidas, validación de identidades
Envío automático de la solicitud de una prórroga si se acerca el plazo máximo
Conforme a la norma ISO 27701, el consentimiento debe obtenerse, cuando proceda, de las personas y registrarse de modo que los detalles, como la fecha en que se dio el consentimiento, la prueba de la identidad de la persona y la declaración de consentimiento, puedan proporcionarse cuando se soliciten. Empleando la herramienta de gestión del consentimiento de OneTrust puedes:
Demostrar el cumplimiento de los registros granulares del consentimiento
Recopilar un consentimiento válido tal y como exige la norma ISO 27701
Cumplir con otros reglamentos de privacidad como el RGPD, la CCPA o la CCPA