Resumen: El Reglamento (UE) 2016/679 (RGPD), a diferencia del
Reglamento 1720/2007 de desarrollo de la LOPD, introduce el concepto de
“Seguridad Activa” que evita, como hasta ahora, señalar un catálogo de medidas
de seguridad concretas, dejando la elección de éstas al Responsable y al
Encargado en base al riesgo evaluado
respecto a los tratamientos de datos personales. El ENS o la norma ISO
27001:2013, junto a sus respectivas 75 medidas de seguridad y 114 controles,
pueden ser una ayuda relevante para el cumplimiento del RGPD.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
||
Actualizado
|
27 de octubre
de 2017
|
|
Índice
1. Contexto
2. Introducción al RGPD
3. Las Evaluaciones de Impacto en la Protección de Datos
(EIPD)
4. Comparativa entre las normas ISO 27001 y ENS
5. El concepto de Sistema
de Gestión y su integración con el RGPD
6. Bibliografía consultada
7. Control de cambios
del artículo
8. Derechos de autor
ANEXO I. Comparativa artículos
RGPD con controles ISO 27001:2013
ANEXO II. Las 75 medidas de seguridad del ENS
1. Contexto
A partir del artículo publicado por Carlos Galán Cordero [que desempeña su
labor profesional en INCIBE] en el Diario
La Ley Nº 5, Sección
Ciberderecho, el 17 de Marzo de 2017, con el título El esquema nacional de seguridad como mecanismo de certificación del
reglamento europeo de protección de datos [1],
me decidí a desarrollar dicha idea presentando una ponencia en el Congreso de
ISACA en Barcelona, que además de tratar la integración del RGPD con el ENS, por
similitud, también lo hace con la norma ISO 27001:2013.
NOTA DEL EDITOR: Ante las múltiples
peticiones que he recibido sobre si repetiría la ponencia para quienes no
pudieron finalmente asistir, me he decidido a escribir este artículo que, pese
a no ser lo mismo que un evento presencial, puede suplir sus efectos.
Ciertamente presenta mayor interés respecto al ENS por una razón de escala.
Todas las administraciones públicas en España, o entidades privadas dependientes o que le
presten servicios relevantes para sus sistemas de información, están obligadas
a cumplir con las disposiciones del ENS. Ello significa que la Administración
Pública obligatoriamente contará con las medidas de seguridad que determina el
ENS y deberán aprovecharse integrándolas con los requisitos adicionales que se
deriven del Reglamento General de Protección de Datos (RGPD).
Presentaré el mismo PPT que empleé en la ponencia incluyendo mis
comentarios, esta vez escritos, intercalados entre las “diapositivas”.
La ponencia se divide en cuatro partes:
- La primera es una introducción al RGPD incidiendo en aquellas características y principios que nos afectarán en esta propuesta de integración con el ENS o la norma ISO 27001.
- En la segunda se incide en las Evaluaciones de Impacto en la protección de datos (EIPD).
- La tercera es una comparativa entre la norma ISO 27001:2013 y el ENS.
- La cuarta es la concreción práctica. Trata de los Sistemas de Gestión de la Seguridad de la Información (SGSI o SGSI-ENS) y su integración con el RGPD.
2. Introducción al RGPD
Incidiré en aquellas características y principios del RGPD que nos
afectarán en proyectos de integración con el ENS o la norma ISO 27001.
Lo primero es definir como queda el marco normativo de protección de datos
tras la aprobación del Reglamento 2016/679 (UE) General de Protección de Datos
(RGPD).
Debe tenerse en cuenta que
el Reglamento Europeo, ya aprobado, es un instrumento jurídico de rango
superior a las leyes nacionales, de aplicación directa en los estados miembros
de la Unión. Eso quiere decir que no requiere de un proceso de transposición al
Derecho Nacional como sí ocurría con la Directiva 95/46/CE.
La primera consecuencia es
que a partir del 25 de mayo de 2018, fecha en que es de aplicación, quedará desplazado el RD 1720/2007, Reglamento de desarrollo de la LOPD. Aunque no esté técnicamente derogado, sus medidas de seguridad tasadas, en base a una categorización de los datos, choca frontalmente con el concepto de "seguridad activa" con medidas de seguridad consecuencia de la gestión del riesgo para los derechos y libertades de los afectados.
La propia LOPD debería
derogarse también, pero dado que el ordenamiento jurídico constituye un sistema
interrelacionado, su supresión significaría que deberían modificarse multitud
de leyes, concluyéndose por razones de economía legislativa la conveniencia de modificar
únicamente la LOPD [2] de modo
que asuma el RGPD y añada aspectos de desarrollo específicos que los diferentes
estados miembros tienen potestad de decidir.
La primera diferencia relevante entre la LOPD actual y el
RGPD es la traslación del centro de gravedad desde los FICHEROS hacia los
TRATAMIENTOS.
Esta idea ya la introduje por primera vez en este blog el
24 de septiembre de 2016 en el artículo titulado “La dovela central del Reglamento Europeo de Protección de Datos”. [3] No se trata simplemente de que los ficheros
conteniendo datos personales ya no se registren en la Autoridad de Control
correspondiente, ya que eso es una simple consecuencia. Se trata de que, en la
actualidad, presentan más riesgo para los derechos y libertades de los
afectados los tratamientos que los ficheros. Un ejemplo puede ser un conjunto
de ficheros conteniendo datos personales aparentemente inocuos sobre los cuales
aplicamos tratamientos analíticos de Big Data, infiriendo conocimiento sobre
determinadas características de la personalidad… Incluso el mero hecho de
conservar datos puede verse como que se les aplica el tratamiento de “almacenamiento
y custodia”.
Esa traslación del foco desde los ficheros hacia los
tratamientos conlleva una serie de consecuencias:
- La primera es la desaparición de los tres niveles de seguridad asociados a los datos personales (BÁSICO, MEDIO o ALTO).
- La segunda es que desaparecen las medidas de seguridad tasadas, como se determinan en el Capítulo III, del Título VIII, del RD 1720/2007, asociadas precisamente a esos tres niveles.
El RGPD, en cambio, tiene un criterio más amplio y
abierto, en línea con la tendencia actual de elaboración legislativa para
sujetos obligados que sean organizaciones. Se basa en el riesgo. Este es un
aspecto sobre el que ya incidí el 22 de diciembre de 2014 en el artículo titulado
“Modelos de cumplimiento legal y
apreciación del riesgo” elaborado para el blog del Consejo General de la
Abogacía Española, gestionado por ENATIC. [7]
El artículo 32.1 RGPD, cuando señala a tenor literal “riesgos de probabilidad y gravedad
variables” se está refiriendo de forma indubitada a calcular el valor
del riesgo en función de la probabilidad
de materializarse y la consecuencia o gravedad en caso de que finalmente se
materialice. Esta idea se explicita en la última línea disponiendo su conveniencia “para
garantizar un nivel de seguridad adecuado al riesgo” y así destinarle
recursos de forma equilibrada.
Hay en el RGPD un nuevo principio de la protección de
datos conocido como ACCOUNTABILITY o
principio de rendición de cuentas.
Una primera forma de apreciarlo es mediante la traslación
del centro de gravedad de ficheros a tratamientos y en la no obligatoriedad de
registrar en la Autoridad de Control los primeros.
Este principio, en síntesis, pretende que Responsables y
Encargados del tratamiento actúen y registren esas actuaciones como si tuvieran
que rendir cuentas a alguien, sin requerir hacerlo de momento. En otras
palabras, todo su trabajo relacionado con la protección de datos deberá estar
justificado, conservando esta justificación a disposición de la Autoridad de
Control. Dicha justificación podrá ser el resultado de un análisis de riesgos, unas
autorizaciones expresas que se hayan recabado, etc. El principio de rendición
de cuentas siempre llevará asociadas medidas
de control interno.
Como se aprecia en la diapositiva anterior, una de esas
medidas de control interno es llevar un Registro
de Actividades de Tratamiento, que si bien solo es obligatorio bajo
determinados umbrales, en la práctica es dónde pivotará implícitamente el
cumplimiento para todas las organizaciones que deseen adecuarse a las
disposiciones del nuevo Reglamento Europeo, ya sean de tamaño grande, mediano o
pequeño.
Como se desprende del propio artículo 30 RGPD (de color
negro en la figura anterior) y entre líneas del resto de artículos (de color
azul), éste podría ser el contenido de cada entrada en el Registro de Actividades
de Tratamiento.
Haré notar que los ficheros empleados por cada
tratamiento, en base a la traslación anteriormente comentada, son un dato más,
aunque relevante, de todos los que constituyen cada tratamiento.
3. Las Evaluaciones de Impacto en la Protección
de Datos (EIPD)
Ya me he referido antes a que al desaparecer los niveles
de los datos (BÁSICO, MEDIO Y ALTO), desaparecían también las medidas de
seguridad tasadas que determinaba el próximo a desaparecer RD 1720/2007,
Reglamento de desarrollo de la LOPD.
En consecuencia, ya no partimos de la relación de ficheros declarados para hacer el
análisis y construir así las diferentes medidas para proteger los datos de
naturaleza personal. En su lugar partiremos del Registro de Actividades de Tratamiento dónde constarán todos los
tratamientos operativos de la organización que traten o puedan llegar a tratar
datos de carácter personal.
Ese Registro es el que emplearemos como base para
realizar las EIPD y obtener así acciones de tratamiento que mitiguen los
riesgos evaluados como inaceptables.
Las Evaluaciones de Impacto únicamente se harán de
aquellas actividades de tratamiento que a priori presenten riesgo para los
derechos y libertades de los afectados. En consecuencia será un subconjunto del
número total de entradas en el Registro de Actividades de Tratamiento.
Una EIPD puede verse como un proceso de gestión de
riesgos focalizada en el ámbito de un único tratamiento de datos personales.
Por tanto, puede basarse en el esquema esencial de la
norma ISO 31000:2009, actualmente en revisión, de Gestión de riesgos.
Dicha norma divide la Gestión de riesgos en dos partes:
- La primera de apreciación del riesgo, que a su vez se divide en identificación o determinación de los riesgos (amenazas) para los principios de la protección de datos que puedan llegar a materializarse; análisis o cálculo del valor del riesgo en función de la probabilidad y la consecuencia (impacto) de su materialización; evaluación o comparación de los valores de riesgo obtenidos con determinado umbral para poder decidir si son aceptables, o por el contrario deben evitarse o tratarse.
- La segunda es el tratamiento del riesgo, que consiste en planificar, implementar y controlar las acciones que se determinen para tratar y mitigar los riesgos.
En la diapositiva 16 lo vemos plasmado en una
herramienta, poniéndose de manifiesto que cada fila se corresponde con
determinado riesgo identificado. Para ese riesgo encontraremos la frecuencia
(probabilidad) inicial, su consecuencia (impacto) inicial y el valor del riesgo
inicial.
Cuando le aplicamos una determinada acción de tratamiento
de riesgos, ésta puede alterar la frecuencia o el impacto, modificándose el
valor del riesgo residual.
Si dicho valor residual no acaba de satisfacer las
expectativas, se debe efectuar otro control adicional para seguir rebajándolo a
valores aceptables.
Es conocido, no obstante, que otras alternativas a
mitigar el riesgo son aceptarlo -no hacer nada-, evitarlo -eliminando la
funcionalidad o el proceso conflictivo, si ello es posible y no desvirtúa el
diseño-, o transferirlo externalizándolo por ejemplo en un encargado del
tratamiento o contratando un seguro de RC, según el caso.
Es interesante la guía que publicó en 2014 la AEPD
titulada “Guía para una Evaluación de Impacto en la Protección de Datos
Personales”. [4]
En ella se dispone del anexo III respecto al modelo de
informe final de una EIPD. El apartado 8 “Conclusiones”
incluye una representación de las medidas técnicas que deben adoptarse, junto a
las medidas organizativas.
Por su parte el apartado 6, sobre “Identificación y gestión de riesgos”, señala que debe reflejarse la
decisión adoptada para cada riesgo en base a objetivos de control, controles
y medidas propuestas. Ignoro si es
casualidad, pero el léxico empleado coincide con el de los anexos de las normas
ISO 27001 y ENS.
4. Comparativa entre las normas ISO 27001 y ENS
Compararemos a continuación ambas normas de referencia:
ISO 27001:2013 y el Esquema Nacional de Seguridad (ENS) en lo que respecta a su
catálogo de controles o medidas de seguridad.
Vemos en la diapositiva 19 precedente, respecto a la
comparativa entre el anexo A de la norma ISO 27001:2013 y el ENS, que la norma ISO
27001 utiliza el mismo vocabulario: Objetivos
de control y controles, siendo 114 los que se determinan en el catálogo, igual
que hace el ENS en relación a grupos, subgrupos y medidas de seguridad, siendo 75 las que se determinan también en su
correspondiente catálogo.
Debo decir que el hecho de que la norma ISO disponga de
114 controles en su “anexo A” y el ENS únicamente de 75 en su anexo “II”, no
significa que este último sea menos completo, ya que un control del ENS puede expandir en
varios de la norma ISO 27001:2013.
En el caso de la norma ISO 27001, se aprecian una serie
de dominios divididos entre objetivos de control y controles, recogiéndose los
14 dominios en la transparencia 20 anterior.
Adicionalmente, las cláusulas que van desde la 4 “Contexto de la organización” hasta la 10 “Mejora” constituyen el cuerpo del Sistema de Gestión de la
Seguridad de la Información y también son relevantes como se detalla en el
Anexo I de este artículo, por cortesía de ISO27K
Forum. [5]
Por su parte en el ENS se aprecian los 3 grupos y 14
subgrupos en la transparencia 21 anterior.
Ambas normas, ENS e ISO 27001, cubren ampliamente las
medidas organizativas y técnicas relacionadas con la seguridad de la
información.
Si queremos ver con algo más de detalle ambos anexos,
observamos a simple vista que mientras el Anexo A de la norma ISO 27001 no requiere
de comentarios adicionales, en el anexo II del ENS se aprecia que la medida
concreta depende de la categoría de los sistemas de información que soportan
los servicios, entendidas como BÁSICA, MEDIA Y ALTA.
NOTA del EDITOR: La imagen que se muestra en la diapositiva 22 respecto al ENS es del
cuadro resumen de medidas de seguridad. En ese mismo anexo del RD 3/2010 se detalla
cada una de ellas, incluso con mayor detalle que en la norma ISO 27001:2013. En
relación a ésta última norma, se dispone adicionalmente de la ISO 27002:2013
como guía de buenas prácticas en la aplicación de los controles del anexo A. [En
el anexo II de este artículo puede consultarse la tabla completa que aparece en
la diapositiva].
Prosiguiendo en la búsqueda de diferencias entre la norma
ISO 27001 y el ENS, hay una de sustancial y que tiene que ver con la esencia de
la seguridad.
El concepto seguridad
de la información es algo abstracto. Si preguntáramos a una amplia muestra
de la población estoy convencido que obtendríamos respuestas diversas. Es por
eso que se han definido los conocidos como atributos o dimensiones de la
seguridad, que ambos marcos entiende de forma diferente.
Para la norma ISO 27001 existen tres dimensiones de la
seguridad, que son:
- Confidencialidad, que preserva la información de modo que únicamente sea accesible o conocida por quien tiene autorización para hacerlo.
- Integridad, que preserva la información de modo que únicamente sea alterada por quien tiene autorización para hacerlo. Un caso extremo, es la supresión de la información.
- Disponibilidad, que garantiza que la información sea accesible durante el período acordado, normalmente mediante un acuerdo de nivel de servicio (SLA/ANS). Habitualmente es una dimensión asociada a los servicios que tratan la información.
El Esquema Nacional de Seguridad añade a estas tres, dos
dimensiones adicionales:
- Autenticidad, que garantiza que quien realiza un trámite sea realmente quien dice ser o, desde el punto de vista de la información, garantizar que ésta sea auténtica.
- Trazabilidad, que asegura que se registren todos los trámites realizados, con indicación de quién los hizo y en qué momento preciso o, desde el punto de vista de la información, posibilitar la comprobación a posteriori de quién la ha accedido, o modificado, y cuando.
Esto es relevante en el análisis general de riesgos de
estos marcos normativos, dónde la consecuencia (impacto) de que se materialice
un riesgo debe analizarse para cada una de las dimensiones de la seguridad que
apliquen, como se aprecia en la diapositiva 23 anterior.
Todo lo anterior y determinados conceptos adicionales relevantes pueden verse en el cuadro comparativo entre ambas normas en la diapositiva 24.
El Centro Criptológico Nacional (CCN) editó la Guía
CCN-STIC-825 "Certificación 27001" [6]
en noviembre de 2013, dónde para cada una de las 75 medidas de seguridad del
Anexo II del ENS, se ve si queda cubierta, y en que medida, por determinado
control del Anexo A de la norma ISO 27001.
En la diapositiva 25 se aprecian los criterios de comparación
y en la 26 parte del resumen final.
5. El concepto de Sistema de Gestión y su integración con el RGPD
A diferencia del Reglamento de desarrollo de la LOPD, el
RGPD requiere implícitamente de un Sistema de Gestión que soporte y garantice
su cumplimiento continuado en el tiempo y esté basado en la mejora continua de
sus procesos. Bajo estas circunstancias es una buena opción emplear el que ya
esté implantado en la organización en base al ENS o a la norma ISO 27001 y
evitar así duplicidades en determinados aspectos.
En la diapositiva 28 paso a definir que entiendo por un
Sistema de Gestión de la Seguridad de la Información (SGSI) basado en el
riesgo.
Dicho SGSI debe tener como cimientos la comprensión del
contexto en que se desenvuelve la organización que lo implanta. A partir de ese
conocimiento el Sistema de gestión se sustentará por tres pilares
fundamentales: La gestión de riesgos, el seguimiento de acciones y la
declaración de aplicabilidad. Iremos analizando cada uno de ellos.
Debe basarse en el ciclo de Deming o PDCA, entendido como
una estrategia de mejora continuada en cuatro pasos: planificar, hacer,
comprobar y actuar, y así de forma recurrente sin fin.
Los dos primeros pilares son comunes a cualquier sistema
de gestión actual -desde el año 2012-, mientras que la declaración de
aplicabilidad únicamente se encuentra en aquellos Sistemas que dispongan de un
catálogo de controles o medidas de seguridad en sus anexos.
Si lo expresamos en un diagrama con mayor detalle,
observamos en la transparencia 31 que, además del contexto de la organización,
las tres cajas azules corresponden a los tres pilares de un SGSI que acabamos
de comentar.
La primera caja azul es la Gestión de riesgos, que se
compone como ya hemos visto de un proceso de apreciación y otro de tratamiento
de los riesgos identificados.
La segunda caja azul es el seguimiento de acciones. Si un
SGSI es incapaz de generar acciones es que no está persiguiendo la mejora
continua. Si todo el “tinglado” no es capaz de actuar, es que únicamente
monitoriza y entonces se convierte en prescindible.
Como ejemplo de acciones tenemos:
- Acciones para alcanzar los objetivos estratégicos de seguridad de la información (ISO 27001).
- Acciones de Tratamiento de los riesgos evaluados como inaceptables, para su mitigación.
- Acciones para dar curso a las propuestas de mejora por parte de cualquier parte interesada interna o externa.
- Acciones para corregir las desviaciones en las auditorías periódicas (No conformidades, observaciones…).
Y entrando por fin en el objetivo de esta ponencia, que no
es otro que mostrar la integración del RGPD en un SGSI o SGSI-ENS, vemos en la
diapositiva 32 que un punto de contacto
son las Evaluaciones de Impacto en la Protección de Datos (EIPD).
Hemos visto anteriormente que una EIPD es una gestión de
riesgos especializada, que focaliza en determinada acción de tratamiento. En
consecuencia, podemos alterar el diagrama anterior para que contemple las EIPD.
Vemos así que en la caja azul de Gestión de Riesgos se
contemplan tanto los riesgos generales de seguridad de la información de la
organización, provenientes del ENS o de la norma ISO 27001, como los
específicos de protección de datos provenientes de las diferentes EIPD.
El seguimiento de acciones, con esta nueva composición,
vemos que no se altera y podrá seguir siendo común.
Pensemos que no ocurre absolutamente nada, al ser algo
natural, que contemplemos conjuntamente diferentes clasificaciones de la
información. Coexistirán datos personales junto a información clasificada
(Pública, uso interno, restringida y confidencial, por ejemplo), como se muestra en la diapositiva 35 orientada al ENS. Incluso habrá
datos personales que podrían considerarse simultáneamente información
clasificada, según el caso.
En la diapositiva 36 muestro un ejemplo, en este caso
para mayor didáctica lo presento en Excel, de un Seguimiento de Acciones del SGSI-ENS.
Se aprecia que hay un bloque de registro inicial,
otro de evaluación de las causas y determinación de acciones y un
tercero, que veremos luego al no caber en la diapositiva, de plan de
proyecto.
Vemos que cada fila, que representa una entrada,
identifica si la acción es común, corresponde específicamente al RGPD o bien lo
hace respecto al SGSI-ENS.
Lo importante es resaltar que la estructura es común y su
gestión conjunta nos simplifica el Sistema de Gestión Integrado RGPD-SGSI-ENS.
Lo que faltaría (parte derecha de las filas del Excel) es
gestionar cada una de las acciones del SGSI-ENS como un mini proyecto,
indicando que recursos se requerirán, quién se responsabiliza de la acción,
fechas estimadas de inicio y final y como se evaluarán los resultados para
poder cerrarla. Un indicador de avance de la acción sería muy útil.
En cuanto a la tercera caja azul, la Declaración de Aplicabilidad, en la diapositiva 38 se muestra
respecto al anexo A de la norma ISO 27001:2013.
En este caso incorpora de facto 114
controles, algunos de los cuales podríamos llegar a excluir de forma motivada.
Para cada control se indica su código según la norma, su
descripción, si aplica o no, un detalle de cómo se aplica y los posibles
documentos vinculados a ese control, su origen (Análisis de riesgos, requisito
legal…) y la vinculación con el desencadenante que motiva su aplicación (como
puede ser la referencia a una acción de tratamiento de riesgos).
Una característica de las declaraciones de aplicabilidad
es que pueden añadirse controles adicionales que se determinen relevantes para
la organización.
En la diapositiva 39 se aprecia cómo se ha añadido a la Declaración
de Aplicabilidad un control específico para el RGPD, que además se vincula a la
acción de tratamiento de la diapositiva 36 “TR001/17”.
Podemos buscar controles que apliquen al RGPD en la
propia Guía de la AEPD, de otras Autoridades de Control, o construirla nosotros
a partir de una lectura detallada del Reglamento Europeo. Algunas herramientas o plataformas informáticas
preparadas para el RGPD incluyen una amplia colección de controles, siendo un
ejemplo cualquiera el que se aprecia en la diapositiva 16.
Ya para acabar, en la diapositiva 40 se muestran las conclusiones
de esta ponencia.
NOTA DEL EDITOR: Recordar que se incluye en el anexo I, cortesía de ISO27K Forum © y
sujeta a propiedad intelectual, una completa tabla de equivalencia (en inglés) entre
los artículos del GDPR y las cláusulas y controles de la norma ISO 27001:2013. [5]
6. Bibliografía consultada
-
[2] Ministerio de Justicia. “ANTEPROYECTO
DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. 8 de Junio de
2017.
-
[3] José
Luis Colom Planas. “La dovela central del Reglamento Europeo de
Protección de Datos”. Blog “Aspectos profesionales”. 24 de septiembre de
2016.
- [4] AEPD. “Guía para una Evaluación de Impacto
en la Protección de Datos Personales”. Agencia Española de Protección de Datos
- 2014.
- [5] ISO27K Forum. “Mapping between GDPR (the EU General Data Protection
Regulation) and ISO27k”. Release
1. November 2016.
-
[6] Centro Criptológico Nacional (CCN).
“Guía CCN-STIC-825 -Certificaciones 27001-”. Noviembre de 2013.
-
[7] José Luis Colom Planas. “Modelos
de cumplimiento legal y apreciación del riesgo”. Blog del Consejo General de la
Abogacía Española, gestionado por ENATIC. 22 de diciembre de 2014.
-
[8] UE. “Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos). 4 de mayo de
2016.
RGPD
RGPD
7. Control de cambios del artículo
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de
exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
27/10/2017
|
Redacción
inicial del artículo
|
Autor
|
29/10/2017
|
Se añade el anexo III, con fotografías del evento facilitadas por el
gerente de ISACA Barcelona, Carles Mateu.
|
Autor
|
8. Derechos de autor
Imágenes bajo licencia 123RF
internacional. La licencia únicamente es válida para su publicación en este
blog.
Diapositivas creadas por el
autor. La tabla del anexo I es cortesía de ISO27K Forum quién conserva los derechos de autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño
profesional en el ámbito de los diferentes marcos normativos, ya sean estos
jurídicos o de adscripción voluntaria. Está especializado en aplicar normas ISO
a entornos jurídicos como pueden ser el Derecho Penal-Económico y el Derecho de
las nuevas tecnologías. También es especialista en marcos normativos
relacionados con la seguridad de la información como pueden ser ENS e ISO
27001. A partir de su
dilatada experiencia, edita el Blog jurídico “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior
de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha
especializado respecto a los delitos de blanqueo de capitales en la UOC, en
colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto
externo en prevención de blanqueo de capitales, certificado por INBLAC y
registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales e
Infracciones Monetarias (SEPBLAC).
A
nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito
a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service
Management by EXIN (Examination Institute for Information Science).
Desempeña su labor
profesional en la entidad de
certificación AUDERTIS
como Director Técnico (Auditoría y Cumplimiento Normativo). También colabora
con la entidad certificadora British Standards Institution (BSI) como auditor
jefe de certificación e impartiendo formación para la obtención de la
acreditación como lead auditor, en diferentes marcos normativos, incluidas las
especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo
Compliance, Management & IT Advisor, incidiendo en Compliance Penal,
PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y auditorías
respecto a la seguridad de la información. Ha participado como lead
auditor de diferentes sistemas de gestión basados en Normas ISO y en la
optimización de sus procesos. Ha realizado diferentes niveles de auditorías de
cumplimiento legal ya sea para organizaciones sujetas a Derecho público o
privado. Anteriormente ha ostentado la posición de Director de Consultoría en
ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es vocal de la Junta Directiva -
miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en la prevención del Blanqueo de
Capitales y Financiación del Terrorismo), socio de ASCOM (Asociación Española de Compliance), CUMPLEN (Asociación
de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de ENATIC (Asociación de expertos nacionales de la
abogacía TIC), miembro de itSMF (IT Service Management Forum) y ATI (Asociación
de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas
las referidas organizaciones. Ha obtenido, junto a algunos miembros de la
iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT),
un premio compartido otorgado por la AEPD y ha sido docente en varios cursos
jurídicos organizados por el ICAB.
ANEXO I. Comparativa artículos RGPD con controles ISO 27001:2013
Disclaimer
This is not legal advice, nor is it information risk, information security or privacy advice. This generic high-level document is provided purely for informational or general guidance purposes. You need to interpret and adapt it for your own unique situation, and if GDPR applies to your organization, you should definitely seek competent legal and other professional advice concerning the adequacy and suitability of your particular security controls and other privacy arrangements. Don’t take our word for anything or blame us for the inevitable errors and omissions: we’re simply trying to help.
Copyright
This
work is copyright © 2016, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons
Attribution-Noncommercial-Share Alike 3.0 License. In
plain English, you are welcome to reproduce, circulate, use and create
derivative works from this provided that (a) they are not sold or incorporated
into a commercial product, (b) they are properly attributed to the ISO27k Forum, and (c) if they are to be shared
or published, derivative works are covered by the same Creative Commons
Attribution-Noncommercial-Share Alike 3.0 License. Be nice.
Contact Gary@isect.com if this license is unsuitable for
your intended use.
ISO27k controls without the prefix ‘A’ are in
the main body of ISO/IEC 27001:2013.
Those prefixed with ‘A’ are listed in Annex A of ISO/IEC 27001:2013 and
are explained in more detail in ISO/IEC 27002:2013. Further ISO27k standards fill-in various
supplementary details (e.g. ISO/IEC
27005 on information risk management and ISO/IEC 27018 on privacy in cloud
computing), while other ISO and non-ISO standards and resources provide lots
more information, and in some cases recommend alternative or complementary
approaches and controls.
GDPR
|
ISO27k
|
||
Article
|
Outline/summary
|
Control
|
Notes
|
1
|
GDPR
concerns the protection and free movement of “personal data”, defined in
article 4 as “any information relating to an identified or identifiable
natural person (‘data subject’); an identifiable natural person is one who
can be identified, directly or indirectly, in particular by reference to an
identifier such as a name, an identification number, location data, an online
identifier or to one or more factors specific to the physical, physiological,
genetic, mental, economic, cultural or social identity of that natural
person”.
|
A.18.1.4
etc.
|
The ISO27k standards concern information
risks, particularly the management of information security controls
mitigating unacceptable risks to organizations’ information. In the
context of GDPR, privacy is largely a matter of securing people’s personal
information, particularly sensitive computer data. The ISO27k standards
specifically mention compliance obligations relating to the privacy and
protection of personal info (more formally known as Personally Identifiable
Information - PII - in some countries) in control A.18.1.4.
|
2
|
GDPR
concerns “the processing of personal data wholly or partly by automated means
....” (essentially, IT systems, apps and networks) and in a business or
corporate/organizational context (private home uses are not in scope).
|
Many
|
ISO27k concerns information in general, not
just computer data, systems, apps and networks. It is a broad framework, built around a
‘management system’. ISO27k systematically
addresses information risks and controls throughout the organization as a
whole, including but going beyond the privacy and compliance aspects.
|
3
|
GDPR concerns personal data for people in the
European Union whether is it processed in the EU or elsewhere
|
A.18.1.4
etc.
|
ISO27k is global in scope. Any organization that interacts with people
in the European Union may fall under GDPR, especially of course if they
collect personal info.
|
4
|
GDPR privacy-related terms are formally
defined here.
|
3
|
ISO/IEC 27000 defines most ISO27k terms
including some privacy terms. Many
organizations have their own glossaries in this area. Check
that any corporate definitions do not conflict with GDPR.
|
Chapter I General provisions
|
|||
5
|
Personal
data must be: (a) processed lawfully, fairly and transparently; (b) collected
for specified, explicit and legitimate purposes only; (c) adequate, relevant
and limited; (d) accurate; (e) kept no longer than needed; (f) processed
securely to ensure its integrity and confidentiality.
[This is
the latest incarnation of the original OECD
principles
published way back in 1980 <tips hat>.]
The
“controller” is accountable for all that.
|
6.1.2,
A.8.1.1
A.8.2
A.8.3
A.9.1.1
A.9.4.1
A.10
A.13.2
A.14.1.1 A.15
A.17
A.18 ...
in fact almost all!
5
A.6.1.1
|
Business processes plus apps, systems and
networks must adequately secure personal information, requiring a
comprehensive suite of technological, procedural, physical and other controls
… starting with an assessment of the associated information risks. See also ‘privacy by design’ and ‘privacy
by default’ (Article 25).
In order to satisfy these requirements,
organisations need to know where personal info is, classify it and apply
appropriate measures to address (a)-(f).
Although not stated as such, accountability
is an important concept within the ‘Leadership’ section of ISO/IEC 27001.
|
6
|
Lawful
processing must: (a) be consented to by the subject for the stated purpose;
(b) be required by a contract; (c) be necessary for other compliance reasons;
(d) be necessary to protect someone’s vital interests; (e) be required for
public interest or an official authority; and/or (f) be limited if the
subject is a child.
Note: there are several detailed and explicit
requirements concerning lawful processing - see GDPR!
Note also that EU member states may impose
additional rules.
|
6.1.2
A.14.1.1
A.18.1.1
etc.
|
This should also be covered in the assessment
and treatment of information risks. It
will influence the design of business processes/activities, apps, systems etc. (e.g. it may be necessary to determine someone’s age before
proceeding to collect and use their personal info). These are business requirements to limit
and protect personal information: many security
controls are required in practice to mitigate unacceptable information risks
that cannot be avoided (by not collecting/using the data) or shared (e.g. relying on some other party
to get consent and collect the data - a risk in its own right!).
|
7
|
The data
subject’s consent must be informed, freely given and they can withdraw it
easily at any time.
|
A.8.2.3
A.12.1.1
A.13.2.4?
A.18.1.3
6.1.2
A.14.1.1
A.8.3.2
A.13.2
etc.
|
There is a requirement to request informed
consent for processing (otherwise stop!) and to be able to demonstrate this.
Procedures need to be in place for this and records demonstrating the consent
must be protected and retained.
Withdrawal of consent implies the capability
to locate and remove the personal info, perhaps during its processing and
maybe also from backups and archives, plus business processes to check and
handle requests.
|
8
|
Special
restrictions apply to consent by/for children.
|
See
Article 7 |
These special restrictions apply primarily at
the time information is gathered (e.g. getting
a parent’s consent).
|
9
|
Special restrictions apply to particularly
sensitive data concerning a person’s race, political opinions, religion,
sexuality, genetic info and other biometrics etc. Processing of such
info is prohibited by default unless consent is given and processing is necessary (as
defined in the Article).
|
A.8.2.1
A.8.2.3
A.14.1.1
|
See 7 above. It is important to identify
where sensitive data may be processed, whether that is ‘necessary’ in fact,
and to obtain explicit consent - factors to be considered in the design of
systems, apps and business processes.
|
10
|
Special restrictions also apply to personal
data concerning criminal convictions and offenses.
|
A.7.1
A.8.2.1
A.8.2.3
6.1.2
A.14.1.1
A.7.1
etc.
|
Any use of this information should be
identified and only processed in specific circumstances. Such information
should preferably not be retained except by the authorities … but may be
needed for background checks, credit/fraud risk profiling etc.
|
11
|
Some restrictions don’t apply if a person
cannot be identified from the data held.
|
A.8.2.1
A.8.2.3
6.1.2
A.14.1.1
etc.
|
Avoiding information risks (by NOT knowing
who the subjects are) is a good option, where feasible: does the business
really need to know a person’s
identity or will aggregate info/statistics suffice?
|
Chapter III
Rights of the data subject
|
|||
12
|
Communications with data subjects must be
transparent, clear and easily understood.
|
A.12.1.1
A.14.1.1
A.16
etc.
|
See above.
This affects the wording of web forms, notifications, telephone
scripts etc. plus the
processes. It may also be relevant to
incident management i.e. mechanisms
allowing people to enquire or complain in relation to their own personal
information (implying a means to identify and authenticate them), for
responding promptly, and for keeping records of such comms (e.g. to limit or charge for excessive
requests)
|
13
|
When personal data are collected, people must
be given (or already possess) several specific items of information such as
details of the data “controller” and “data protection officer”, whether their
info will be exported (especially outside the EU), how long the info will be
held, their rights and how to enquire/complain etc.
|
A.8.2.1
A.8.2.3
A.12.1.1
A.14.1.1
A.16
etc. |
Procedures for the provision of fair
processing information, information on the data controller and purposes for
processing the data need to be defined and implemented. This relies in part
on identifying where personal info is in use.
|
14
|
Similar notification requirements to Article
13 apply if personal info is obtained indirectly (e.g. a commercial mailing list?): people must be informed
within a month and on the first communication with them.
|
A.8.2.1
A.8.2.3
A.12.1.1
A.14.1
A.16
etc.
|
See Article 13.
|
15
|
People have the right to find out whether the
organization holds their personal info, what it is being used for, to whom it
may be disclosed etc., and be informed of the right to complain,
get it corrected, insist on it being erased etc.
People have rights to obtain a copy of their
personal information.
|
A.8.1.1
A.8.2.1
A.12.1.1
A.13.2.1
A.14.1.1
etc.
|
Subject rights include being able to obtain a
copy of their own info (again implying the need for identification and
authentication before acting on such requests), disclosing the nature of
processing e.g. the logic behind
and the consequences of ‘profiling’, and info about the controls if their
data are exported. It may also affect backup and archive copies. See also
Article 7 on withdrawal of consent.
|
16
|
People have the right to get their personal
info corrected, completed, clarified etc.
|
A.12.1.1
A.14.1
A.9
A.16?
A.12.3
A.18.1.3
|
Implies functional requirements to check,
edit and extend stored info, with various controls concerning identification,
authentication, access, validation etc. It may also affect backup and
archive copies.
|
17
|
People have a right to be forgotten i.e. to have their personal info
erased and no longer used.
|
6.1.2
A.14.1.1
A.9
A.16
A.12.3
A.8.3.2
|
This is a form of withdrawing consent (see
Article 7). Implies system & process functional requirements to be able
to erase specific stored info, with various controls concerning
identification, authentication, access, validation etc. It may also
affect backup and archive copies.
|
18
|
People have a right to restrict processing of
their personal info.
|
6.1.2
A.8.2.1
A.8.2.3
A.12.1.1
A.14.1.1
A.16
A.12.3
A.18.1.1
|
See Articles 7, 12 etc.
May need ways to identify the specific data
that is to be restricted and implement new handling / processing rules. Note
it may also affect backup and archive copies.
|
19
|
People have a right to know the outcome of
requests to have their personal info corrected, completed, erased, restricted
etc.
|
A.12.1.1
6.1.2
A.14.1.1 A.16
etc.
|
Informing/updating the originator is a
conventional part of the incident management process, but there may be a separate
or parallel process specifically for privacy complaints, requests etc. since the originators here are
not usually employees/insiders.
|
20
|
People have a right to obtain a usable
‘portable’ electronic copy of their personal data to pass to a different controller.
|
6.1.2
A.13
A.14.1.1 A.8.3
A.10
A.18.1.3
etc.
|
Depending on your organisation’s purpose,
this may seem such an unlikely scenario in practice (low risk) that it may best be handled by exception,
manually, without automated IT system functions. Note that the extracted data must be
limited to the identified and authenticated person/s concerned, and must be
communicated securely, probably encrypted.
It may also imply erasing or restricting the data and confirming this
(Articles 17, 18 and 19).
|
21
|
People have a right to object to their
information being used for profiling and marketing purposes.
|
6.1.2
A.12.1.1
A.14.1.1
A.16
A.12.3
etc.
|
See article 18.
May need ways to identify the specific data
that is not to be processed and implement new handling / processing rules.
|
22
|
People have a right to insist that key
decisions arising from automatic processing of their personal info are
manually reviewed/reconsidered.
|
6.1.2
A.12.1.1
A.14.1.1
A.16
|
Profiling and decision support systems
involving personal info must allow manual review and overrides, with the
appropriate authorization, access and integrity controls etc.
|
23
|
National laws may modify or override various
rights and restrictions for national security and other purposes.
|
A.18.1.1
|
This is primarily of concern to the
authorities/public bodies and their systems (e.g. police, customs, immigration, armed forces), but may affect
some private/commercial organizations, either routinely (e.g. legal sector, defence industry, ISPs, CSPs, money laundering
rules in financial services?) or by exception (implying a legally-sound
manual process to assess and handle such exceptional situations).
|
Chapter IV Controller and processor
|
|||
24
|
The “controller” (generally the organization
that owns and benefits from processing of personal info) is responsible for
implementing appropriate privacy controls (including policies and codes of
conduct) considering the risks, rights and other requirements within and
perhaps beyond GDPR.
|
4, 5, 6, 7, 8, 9, 10 and much of
Annex A
|
This is a formal reminder that a suitable,
comprehensive mesh of privacy controls must be implemented, including
policies and procedures as well as technical, physical and other controls
addressing the information risks and compliance obligations. The scale of this typically requires a
structured, systematic approach to privacy.
Given the overlaps, it normally makes sense to integrate or at least
align and coordinate privacy with the ISO27k ISMS and other aspects such as
compliance and business continuity management - in other words, it is a
governance issue.
|
25
|
Taking account of risks, costs and benefits,
there should be adequate protection for personal info by design, and by
default.
|
6 and much of Annex A
|
There are business
reasons for investing appropriately in privacy, including information
risks and compliance imperatives, as well as implementation options with
various costs and benefits: elaborating on these is a good way to secure
management support and involvement, plus allocate the funding and resources
necessary to design, deliver, implement and maintain the privacy
arrangements. Privacy by design and by
default are examples of privacy
principles underpinning the specification, design, development, operation and
maintenance of privacy-related IT systems and processes, including
relationships and contracts with third parties e.g. ISPs and CSPs.
|
26
|
Where organizations are jointly responsible
for determining and fulfilling privacy requirements collaboratively, they
must clarify and fulfil their respective roles and responsibilities.
|
5.3
9.1
A.13.2
A.15
A.16
A.18.1
|
Organizations need to manage relationships
with business partners, ensuring that privacy and other information security
aspects don’t fall between the cracks.
This includes, for instance, jointly investigating and resolving
privacy incidents, breaches or access requests, achieving and maintaining an
assured level of GDPR compliance, and respecting consented purposes for which
personal info was initially gathered, regardless of where it ends up.
|
27
|
Organizations outside Europe must formally
nominate privacy representatives inside Europe if they meet certain
conditions (e.g. they
routinely supply goods and services to, or monitor, Europeans).
|
5.3
7.5.1
A.15?
A.18.1.4
|
This is one of many compliance formalities:
the Privacy Officer (or Data Protection Officer or equivalent) should be
accountable for making sure this is done correctly.
|
28
|
If an organisation uses one or more third
parties to process personal info (‘processors’), it must ensure they too are compliant with GDPR.
|
8.2
9.1
A.15
A.18.1.1 A.18.1.3 A.18.1.4
|
This applies to ISPs and CSPs, outsourced
data centres etc., plus other
commercial services where the organization passes personal info to third
parties e.g. for marketing plus HR,
payroll, tax, pension and medical services for employees. It also applies on the receiving end:
service suppliers can expect to be questioned about their GDPR compliance
status, privacy policies and other controls (e.g. any subcontractors), and to have compliance and assurance
clauses/terms and liabilities included in contracts and agreements. The information risks need to be
identified, assessed and treated in the normal manner, on both sides.
|
29
|
Processors must only process personal info in
accordance with instructions from the controller and applicable laws.
|
Most
|
Processors need to secure and control
personal info in much the same way as controllers. They may well be controllers for personal
info on employees etc. so will
hopefully have all necessary privacy arrangements in hand anyway: it’s ‘just’
a case of extending them to cover client info, and manage privacy within
client relationships (e.g. how to
handle breaches or other enquiries, incidents and issues).
|
30
|
Controllers must maintain documentation
concerning privacy e.g. the
purposes for which personal info is gathered and processed, ‘categories’ of
data subjects and personal data etc.
|
7.5
|
More important formalities.
|
31
|
Organizations must cooperate with the
authorities e.g. privacy or data
protection ombudsmen.
|
A.6.1.3
|
Another formality.
|
32
|
Organizations must implement, operate and
maintain appropriate technical and organizational security measures for
personal info, addressing the information risks.
|
8.2
8.3
and most of Annex A
|
GDPR mentions a few control examples (such as
encryption, anonymization and resilience) covering data confidentiality,
integrity and availability aspects,
plus testing/assurance measures and compliance by workers (implying policies
and procedures, awareness/training and compliance
enforcement/reinforcement). An ISO27k
ISMS provides a coherent, comprehensive and structured framework to manage
privacy alongside other information risk and security controls, compliance etc.
|
33
|
Privacy breaches that have exposed or harmed
personal info must be notified to the authorities promptly (within 3 days of
becoming aware of them unless delays are justified).
|
A.16
A.18.1.4
|
Breaches etc.
would normally be handled as incidents within the ISMS incident management
process but GDPR-specific obligations (such as the 3-day deadline for
notifying the authorities) must be fulfilled.
Note that losses or thefts of IT devices containing personal info are probably not notifiable if the data are strongly encrypted
(but remember this is NOT legal advice!). Note also that the point the clock
starts ticking is not explicitly defined: it is arguably appropriate to
gather and assess the available information/evident first to determine
whether or not a reportable incident has actually occurred i.e. the clock may not start
until the incident is declared genuine, not a false-alarm.
|
34
|
Privacy breaches that have exposed or harmed
personal info and hence are likely to harm their interests must be notified
to the people so affected ‘without undue delay’.
|
A.16
A.18.1.4
|
Aside from the legal and ethical
considerations and direction/guidance from the privacy authorities, there are
obviously significant business issues here concerning the timing and nature
of disclosure. This would normally be
a part of the incident management process for serious or significant
incidents, involving senior management as well as specialists and
advisors. Avoiding exactly this
situation and the associated business costs, disruption and aggravation is
one of the strongest arguments to make privacy a corporate imperative, and to
invest appropriately in appropriate preventive measures. The same point applies to other
serious/significant information incidents of course.
|
35
|
Privacy
risks including potential impacts must be assessed, particularly where new
technologies/systems/arrangements are being considered, or otherwise where
risks may be significant (e.g. ‘profiling’
defined in Article 4 as “any form of automated processing of personal data
consisting of the use of personal data to evaluate certain personal aspects
relating to a natural person, in particular to analyse or predict aspects
concerning that natural person's performance at work, economic situation,
health, personal preferences, interests, reliability, behaviour, location or
movements”). ‘Significantly risky
situations’ are to be defined by the national privacy authorities,
apparently.
|
6.1.2
A.6.1.3 A.8.2.1 ISO/IEC 27005 and
ISO 31000
|
Again, there are sound business and ethical
reasons to identify, assess and treat information risks (including privacy
and compliance risks), aside from the GDPR obligations. Privacy-related risks should probably be
included in corporate risk registers alongside various other risks. GDPR also hints at integrating the
assessment of privacy risks as part of the routine risk assessment activities
for business change projects, new IT systems developments etc.
|
36
|
Privacy risks assessed as “high” [undefined]
should be notified to the authorities, giving them the chance to comment.
|
6.1.2
A.6.1.3
A.8.2.1 ISO/IEC 27005 and ISO
31000
|
The GDPR requirement is well-meaning but
vague: this might be covered in corporate policies concerning the precise
definition of “high” privacy risks … but on the other hand explicit inputs
from the authorities may be helpful in terms of an official position on the
suitability and adequacy of proposed controls - in other words this comes
down to a business risk/strategic decision by management.
|
37
|
A data protection officer must be formally
identified under specified circumstances e.g.
public bodies, organizations regularly and systematically monitoring people
on a large scale, or those performing large-scale processing of sensitive
personal info relating to criminal records.
|
5.3
A.6.1.1
A.18.1.4
|
Aside from GDPR obligation, the “Privacy
Officer” role (or equivalent titles) is much more broadly applicable and
valuable, whether full or part-time, formal or informal, notifiable or
not. There are clearly many angles to
privacy: a designated corporate focal point for privacy (ideally a competent
privacy specialist or expert) makes sense for virtually all organizations. This
is another governance issue.
|
38
|
[If formally designated] the data protection
officer must be supported by the organization and engaged in privacy matters.
|
5.3
A.6.1.1
A.18.1.4
|
See above.
Formalities aside, without management support and engagement with the
organization, a Privacy Officer is powerless and pointless.
|
39
|
[If formally designated] the data protection
officer must offer advice on privacy matters, monitor compliance, liaise with
the authorities, act as a contact point, address privacy risks etc.
|
5.3
A.6.1.1
A.18.1.4
|
See above.
The GDPR requirements would form the basis of a Privacy Officer role
description.
|
40
|
Various authorities, associations and
industry bodies are anticipated to draw up codes of conduct elaborating on
GDPR and privacy, offer them to be formally approved (by an unspecified
mechanism) and (where appropriate) to implement their own (member) compliance
mechanisms.
|
5.3,
A.6.1.1
A.18.1.4
|
Although this is a valiant attempt to add
weight to industry codes, it struggles to achieve a full legal mandate … but
the ethical obligation is clear: privacy is more than just a matter of strict
compliance with formal, legal obligations.
Aside from that, codes (and ISO27k standards!) offer good practice
guidance, and compliance may generate commercial/marketing advantages.
|
41
|
The bodies behind codes of conduct are
required to monitor compliance (by their members), independently and without
prejudice to the legal and regulatory compliance monitoring conducted by the
national authorities.
|
5.3
A.6.1.1
A.18.1.4
|
See above.
|
42
|
Voluntary data protection certification
schemes offering compliance seals and marks (valid for 3 years) are to be
developed and registered.
|
5.3
A.6.1.1
A.18.1.4
|
Similar schemes already exist: GDPR gives
them some official recognition, on top of the commercial advantages they
already exploit.
|
43
|
Certification bodies that award compliance
seals and marks should be competent and accredited for this purpose. The European Commission may impose
technical standards for certification schemes.
|
5.3
A.6.1.1
A.18.1.4
|
This should improve the credibility and
meaning of privacy seals and marks, but may also increase the costs. Since they are voluntary, whether or not to
be certified, and which schemes to join, are commercial/business matters for
management.
|
Chapter V Transfers of
personal data to third countries or international organisations
|
|||
44
|
International transfers and processing of
personal info must fulfil requirements laid down in subsequent Articles.
|
-
|
Preamble.
|
45
|
Data transfers to countries whose privacy
arrangements (laws, regulations, official compliance mechanisms ...) are
deemed adequate by the European Commission (i.e. compliant with GDPR) do not require official
authorisation or specific additional safeguards.
|
A.18.1.4
|
Most formalities are to be handled by the
Commission. Compliance involves avoiding transfers to other countries,
monitoring the official lists for changes, and ensuring that suitable
contracts/agreements and other privacy controls are in place as with other
third party data transfers (see Article 28 especially).
|
46
|
Data transfers to countries whose privacy
arrangements (laws, regulations, official compliance mechanisms ...) are not deemed adequate by the European
Commission (i.e. compliant with
GDPR) but meet certain other criteria require additional safeguards.
|
A.18.1.4
|
Essentially, the organization must implement
and ensure the adequacy of privacy controls before transferring personal data
to such countries, and subsequently e.g.
suitable contractual clauses and compliance activities.
|
47
|
National authorities may approve
legally-binding privacy rules permitting transfers to non-approved countries.
|
A.18.1.4
|
Formalities may affect contractual terms,
compliance arrangements, liabilities etc. Hint: it may not be worth the aggravation,
risks and costs.
|
48
|
Requirements on European organizations from
authorities outside Europe to disclose personal data may be invalid unless
covered by international agreements or treaties.
|
A.18.1.4,
A.16
|
Such situations would normally be handled by
legal and regulatory compliance specialists - but may start out as incidents.
|
49
|
Yet more conditions apply to personal info
transfers to non-approved countries e.g.
explicit consent by the data subjects.
|
A.18.1.4
|
The Commission is deliberately making it difficult, or rather taking great care
since the privacy risks are higher.
|
50
|
International authorities will cooperate on
privacy
|
-
|
-
|
Chapter VI Independent
supervisory authorities
|
|||
51-59
|
[Concern national bodies to oversee privacy.]
|
-
|
-
|
Chapter VII Cooperation and consistency
|
|||
60-76
|
[Concern supervisory authorities and the EU
Data Protection Board.]
|
-
|
-
|
Chapter VIII Remedies,
liability and penalties
|
|||
77-81
|
[Supervisory authorities can deal with
privacy complaints.]
|
-
|
-
|
82
|
Anyone damaged by infringements of GDPR has a
right to compensation from the controller/s or processor/s.
|
A.18.1.4
|
-
|
83
|
Administrative fines imposed by supervisory
authorities shall be “effective, proportionate and dissuasive”. Various criteria are defined. Depending on the infringements and circumstances,
fines may reach 20 million Euros or up
to 4% of total worldwide annual turnover for the previous year if
greater.
|
6
A.18.1.4
|
Such huge fines are clearly intended to be a
strong deterrent, representing a significant part of the potential impact of
privacy breaches etc. in the
organization’s assessment of GDPR compliance and other privacy risks.
|
84
|
Other penalties may be imposed. They too must be “effective, proportionate
and dissuasive”.
|
6
A.18.1.4
|
See above.
|
Chapter IX Provisions
relating to specific processing situations
|
|||
85
|
Countries must balance privacy/data
protection rights against freedom of expression, journalism, academic
research etc. through suitable
laws.
|
6
A.18.1.1
A.18.1.4
|
Issues under this Article may come down to
differing legal interpretations in court, hence again there are information
risks to be identified, assessed and treated where personal information is
involved.
|
86
|
Personal data in official documents may be
disclosed if the documents are formally required to be disclosed under
‘freedom of information’-type laws.
|
6
A.18.1.1
A.18.1.4
|
It may be feasible to redact personal or
other sensitive information instead - see ISO/IEC 27038.
|
87
|
Countries may impose further privacy controls
for national ID numbers.
|
6
A.18.1.1
A.18.1.4
|
National ID numbers may be used as secret
personal authenticators, in which case they must remain confidential to
reduce the risk of identity theft. In
effect they are sensitive personal information, implying the need for
encryption and other security/privacy controls.
|
88
|
Countries may impose further constraints on
corporate processing and use of personal information about employees e.g. to safeguard human dignity and
fundamental rights.
|
6
A.18.1.1
A.18.1.4
|
Employment laws may intersect with GDPR and
privacy, further complicating compliance and altering the information risks
in this area.
|
89
|
Where personal data are to be archived e.g. for research and statistical
purposes, the privacy risks should be addressed through suitable controls
such as pseudonymization and data minimization where feasible.
|
6
A.18.1.4
|
Privacy concerns remain as long as the data
subjects are alive (perhaps longer if their families or communities may be
impacted by breaches). Taking account
of this, the information risks should be identified, assessed and treated
appropriately in the normal way.
|
90
|
Countries may enact additional laws
concerning workers’ secrecy and privacy obligations.
|
6
A.18.1.1
A.18.1.4
|
Employment or secrecy laws may intersect with
GDPR and privacy, still further complicating compliance and altering the
information risks in this area.
|
91
|
Pre-existing privacy rules for churches and
religious associations may continue, “provided they are brought into line
with” GDPR.
|
A.18.1.4
|
Good luck interpreting this highly ambiguous
Article!
|
Chapter X Delegated acts
and implementing acts
|
|||
92-99
|
[Concern how GDPR is being enacted by the
EU.]
|
A.18.1.1
|
Not relevant to an individual organization’s privacy
arrangements, except in as much as they need to comply with applicable laws
and regulations.
|
The “Recitals” - extensive notes
preceding the Articles in GDPR - are worth reading for additional explanation
relevant to information security plus some (implicit) control
requirements. For instance:
Recital 39
ends with “Personal data should be
processed in a manner that ensures appropriate security and confidentiality of
the personal data, including for preventing unauthorised access to or use of
personal data and the equipment used for the processing.” - an important
requirement not entirely clear from the Articles.
Recital 49 notes
(in effect) that systems and network security monitoring (e.g. to detect and respond to hacks, denial-of-service attacks etc.) is a “legitimate interest of the
data controller concerned”, hence it is not unlawful to capture personal data
during such activities (even without the data subjects’ explicit consent) … but
this doesn’t negate the need to secure it, to declare it as one of the
“purposes” and to inform system/network users that the information may be
monitored for such purposes.
Recital 83 starts “In
order to maintain security and to prevent processing in infringement of this
regulation, the controller or processor should evaluate the risks inherent in
the processing and implement measures to mitigate those risks, such as
encryption.” The
information-risk-driven approach is fundamental to ISO27k.
ANEXO II. Las 75 medidas de seguridad del ENS
Se relacionan a continuación, de forma esquemática, las 75 medidas de
seguridad que determina el Anexo II del Real Decreto 3/2010, de 8 de enero, por
el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica, contemplando el RD 951/2015, de 23 de octubre, de
modificación del ENS.
Pueden verse las medidas que aplican en función de la categorización de los
sistemas y, en su caso, de la dimensión de seguridad afectada.
Dimensiones
|
Medidas de seguridad
|
||||
Afectadas
|
B
|
M
|
A
|
||
org
|
Marco organizativo
|
||||
categoría
|
aplica
|
=
|
=
|
org.1
|
Política de seguridad
|
categoría
|
aplica
|
=
|
=
|
org.2
|
Normativa de seguridad
|
categoría
|
aplica
|
=
|
=
|
org.3
|
Procedimientos de
seguridad
|
categoría
|
aplica
|
=
|
=
|
org.4
|
Proceso de autorización
|
op
|
Marco operacional
|
||||
op.pl
|
Planificación
|
||||
categoría
|
aplica
|
+
|
++
|
op.pl.1
|
Análisis de riesgos
|
categoría
|
aplica
|
+
|
++
|
op.pl.2
|
Arquitectura de seguridad
|
categoría
|
aplica
|
=
|
=
|
op.pl.3
|
Adquisición de nuevos
componentes
|
D
|
n.a.
|
aplica
|
=
|
op.pl.4
|
Dimensionamiento/Gestión
de capacidades
|
categoría
|
n.a.
|
n.a.
|
aplica
|
op.pl.5
|
Componentes certificados
|
op.acc
|
Control de acceso
|
||||
A T
|
aplica
|
=
|
=
|
op.acc.1
|
Identificación
|
I C A T
|
aplica
|
=
|
=
|
op.acc.2
|
Requisitos de acceso
|
I C A T
|
n.a.
|
aplica
|
=
|
op.acc.3
|
Segregación de funciones
y tareas
|
I C A T
|
aplica
|
=
|
=
|
op.acc.4
|
Proceso de gestión de
derechos de acceso
|
I C A T
|
aplica
|
+
|
++
|
op.acc.5
|
Mecanismo de
autenticación
|
I C A T
|
aplica
|
+
|
++
|
op.acc.6
|
Acceso local (local logon)
|
I C A T
|
aplica
|
+
|
=
|
op.acc.7
|
Acceso remoto (remote login)
|
op.exp
|
Explotación
|
||||
categoría
|
aplica
|
=
|
=
|
op.exp.1
|
Inventario de activos
|
categoría
|
aplica
|
=
|
=
|
op.exp.2
|
Configuración de
seguridad
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.3
|
Gestión de la
configuración
|
categoría
|
aplica
|
=
|
=
|
op.exp.4
|
Mantenimiento
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.5
|
Gestión de cambios
|
categoría
|
aplica
|
=
|
=
|
op.exp.6
|
Protección frente a
código dañino
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.7
|
Gestión de incidentes
|
T
|
aplica
|
+
|
++
|
op.exp.8
|
Registro de la actividad
de los usuarios
|
categoría
|
n.a.
|
aplica
|
=
|
op.exp.9
|
Registro de la gestión de
incidentes
|
T
|
n.a.
|
n.a.
|
aplica
|
op.exp.10
|
Protección de los
registros de actividad
|
categoría
|
aplica
|
+
|
=
|
op.exp.11
|
Protección de claves
criptográficas
|
op.ext
|
Servicios externos
|
||||
categoría
|
n.a.
|
aplica
|
=
|
op.ext.1
|
Contratación y acuerdos
de nivel de servicio
|
categoría
|
n.a.
|
aplica
|
=
|
op.ext.2
|
Gestión diaria
|
D
|
n.a.
|
n.a.
|
aplica
|
op.ext.9
|
Medios alternativos
|
op.cont
|
Continuidad del servicio
|
||||
D
|
n.a.
|
aplica
|
=
|
op.cont.1
|
Análisis de impacto
|
D
|
n.a.
|
n.a.
|
aplica
|
op.cont.2
|
Plan de continuidad
|
D
|
n.a.
|
n.a.
|
aplica
|
op.cont.3
|
Pruebas periódicas
|
op.mon
|
Monitorización del
sistema
|
||||
categoría
|
n.a.
|
aplica
|
=
|
op.mon.1
|
Detección de intrusión
|
categoría
|
n.a.
|
n.a.
|
aplica
|
op.mon.2
|
Sistema de métricas
|
mp
|
Medidas de protección
|
||||
mp.if
|
Protección de las
instalaciones e infraestructuras
|
||||
categoría
|
aplica
|
=
|
=
|
mp.if.1
|
Áreas separadas y con
control de acceso
|
categoría
|
aplica
|
=
|
=
|
mp.if.2
|
Identificación de las
personas
|
categoría
|
aplica
|
=
|
=
|
mp.if.3
|
Acondicionamiento de los
locales
|
D
|
aplica
|
+
|
=
|
mp.if.4
|
Energía eléctrica
|
D
|
aplica
|
=
|
=
|
mp.if.5
|
Protección frente a
incendios
|
D
|
n.a.
|
aplica
|
=
|
mp.if.6
|
Protección frente a
inundaciones
|
categoría
|
aplica
|
=
|
=
|
mp.if.7
|
Registro de entrada y
salida de equipamiento
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.if.9
|
Instalaciones alternativas
|
mp.per
|
Gestión del personal
|
||||
categoría
|
n.a.
|
aplica
|
=
|
mp.per.1
|
Caracterización del
puesto de trabajo
|
categoría
|
aplica
|
=
|
=
|
mp.per.2
|
Deberes y obligaciones
|
categoría
|
aplica
|
=
|
=
|
mp.per.3
|
Concienciación
|
categoría
|
aplica
|
=
|
=
|
mp.per.4
|
Formación
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.per.9
|
Personal alternativo
|
mp.eq
|
Protección de los equipos
|
||||
categoría
|
aplica
|
+
|
=
|
mp.eq.1
|
Puesto de trabajo
despejado
|
A
|
n.a.
|
aplica
|
+
|
mp.eq.2
|
Bloqueo de puesto de
trabajo
|
categoría
|
aplica
|
=
|
+
|
mp.eq.3
|
Protección de equipos
portátiles
|
D
|
n.a.
|
aplica
|
=
|
mp.eq.9
|
Medios alternativos
|
mp.com
|
Protección de las
comunicaciones
|
||||
categoría
|
aplica
|
=
|
+
|
mp.com.1
|
Perímetro seguro
|
C
|
n.a.
|
aplica
|
+
|
mp.com.2
|
Protección de la
confidencialidad
|
I A
|
aplica
|
+
|
++
|
mp.com.3
|
Protección de la
autenticidad y de la integridad
|
categoría
|
n.a.
|
n.a.
|
aplica
|
mp.com.4
|
Segregación de redes
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.com.9
|
Medios alternativos
|
mp.si
|
Protección de los
soportes de información
|
||||
C
|
aplica
|
=
|
=
|
mp.si.1
|
Etiquetado
|
I C
|
n.a.
|
aplica
|
+
|
mp.si.2
|
Criptografía
|
categoría
|
aplica
|
=
|
=
|
mp.si.3
|
Custodia
|
categoría
|
aplica
|
=
|
=
|
mp.si.4
|
Transporte
|
C
|
aplica
|
+
|
=
|
mp.si.5
|
Borrado y destrucción
|
mp.sw
|
Protección de las
aplicaciones informáticas
|
||||
categoría
|
n.a.
|
aplica
|
=
|
mp.sw.1
|
Desarrollo
|
categoría
|
aplica
|
+
|
++
|
mp.sw.2
|
Aceptación y puesta en
servicio
|
mp.info
|
Protección de la
información
|
||||
categoría
|
aplica
|
=
|
=
|
mp.info.1
|
Datos de carácter
personal
|
C
|
aplica
|
+
|
=
|
mp.info.2
|
Calificación de la
información
|
C
|
n.a.
|
n.a.
|
aplica
|
mp.info.3
|
Cifrado
|
I A
|
aplica
|
+
|
++
|
mp.info.4
|
Firma electrónica
|
T
|
n.a.
|
n.a.
|
aplica
|
mp.info.5
|
Sellos de tiempo
|
C
|
aplica
|
=
|
=
|
mp.info.6
|
Limpieza de documentos
|
D
|
aplica
|
=
|
=
|
mp.info.9
|
Copias de seguridad (backup)
|
mp.s
|
Protección de los
servicios
|
||||
categoría
|
aplica
|
=
|
=
|
mp.s.1
|
Protección del correo
electrónico
|
categoría
|
aplica
|
=
|
+
|
mp.s.2
|
Protección de servicios y
aplicaciones web
|
D
|
n.a.
|
aplica
|
+
|
mp.s.8
|
Protección frente a la
denegación de servicio
|
D
|
n.a.
|
n.a.
|
aplica
|
mp.s.9
|
Medios alternativos»
|
ANEXO III. Algunas fotografías del evento en relación
a esta ponencia
Fotografía 1. Iniciando la ponencia sobre cómo integrar el RGPD con un SGSI-ENS.
Fotografía 2. Recibiendo un recuerdo del evento de manos de Joan Barceló, presidente del Capítulo de Barcelona de ISACA.
Fotografía 3. Firmando una dedicatoria en el libro de visitas de la asociación, a la que agradezco haberme invitado a participar.
Fotografía 4. Vista panorámica de los asistentes al evento, a quienes agradezco su
participación.
Simplemente espectacular José Luis, un gran aporte para aclarar las sinergias entre ambos marcos normativos.
ResponderEliminarMuchas gracias por tu amable comentario Raúl. Un abrazo.
ResponderEliminarMagnífico artículo José Luis, no se suele encontrar en la web información de calidad como esta. Un abrazo. Rafael López
ResponderEliminarMuchas gracias Rafael por tu comentario. Y felicitarte también a ti por tu excelente blog https://peritoit.com/ . Un abrazo. José Luis
EliminarJosé Luís, justo lo que iba buscando, felicidades, gran artículo.
ResponderEliminarSaludos.