Cómo demostrar el cumplimiento del artículo 32 del RGPD

Comentario técnico

El artículo 32 del RGPD pide a las organizaciones que adopten un enfoque basado en el riesgo para el procesamiento de datos que tenga en cuenta varias variables clave:

• Una evaluación de riesgos exhaustiva que toma en consideración la destrucción o alteración accidental o ilegal de datos personales, el acceso a los datos y cómo se gestionan los datos.
• Investigar medidas técnicas que mitiguen el riesgo en toda la organización.
• Implementar técnicas y medidas que aborden los riesgos que se presenten. lo más probable es que ocurra.
• Códigos de conducta que responsabilizan a la organización y a las personas que la integran de sus acciones al manejar datos.
• Garantiza a los interesados ​​que quien interactúa con sus datos lo hace de forma adecuada y lícita.

ISO 27701 Cláusula 5.2.1 (Comprensión de la organización y su contexto) y artículo 32 (3) del RGPD de la UE

Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.

La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.

Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.

Esto incluye:

• Revisar las leyes, regulaciones o "decisiones judiciales" de privacidad vigentes.
• Teniendo en cuenta el conjunto único de requisitos de la organización relacionados con el tipo de productos y servicios que vende, y los documentos, políticas y procedimientos de gobierno específicos de la empresa.
• Cualquier factor administrativo, incluido el funcionamiento diario de la empresa.
• Acuerdos de terceros o contratos de servicios que tienen el potencial de afectar la PII y la protección de la privacidad.

ISO 27701 Cláusula 5.2.3 (Determinación del alcance del sistema de gestión de seguridad de la información) y artículo 32 (2) del RGPD UE

ISO recomienda un ejercicio exhaustivo de determinación de alcance, para que las organizaciones puedan producir un PIMS que, en primer lugar, cumpla con sus requisitos de protección de la privacidad y, en segundo lugar, no se infiltre en áreas del negocio que no necesitan atención.

Las organizaciones deben establecer y documentar:

1. Cualquier problema externo o interno, como se describe en ISO 27001 4.1.
2. Requisitos de terceros según lo descrito en ISO 27001 4.2.
3. Cómo interactúa la organización tanto consigo misma como con organismos externos (por ejemplo, puntos de contacto con el cliente, interfaces TIC).

Todos los ejercicios de alcance que planifiquen la implementación de PIMS deben incluir una evaluación exhaustiva de las actividades de procesamiento y almacenamiento de PII.

ISO 27701 Cláusula 5.2.4 (Sistema de gestión de seguridad de la información) y artículo 32 (2) del RGPD UE

Las organizaciones deben intentar implementar, gestionar y optimizar un Sistema de gestión de información de privacidad (PIMS), en línea con las normas ISO publicadas.

ISO 27701 Cláusula 5.4.1.2 (Evaluación de riesgos de seguridad de la información) y artículo 32 (1) (b) y 32 (2) del RGPD UE

Las organizaciones deben trazar e implementar un proceso de evaluación de riesgos de protección de la privacidad que:

• Incluye criterios de aceptación de riesgos, a los efectos de realizar evaluaciones de protección de la privacidad.
• Proporciona un marco para el análisis comparable de todas las evaluaciones de protección de la privacidad.
• Identifica los riesgos de protección de la privacidad (y sus propietarios).
• Considera los peligros y riesgos inherentes a la pérdida de "confidencialidad, disponibilidad e integridad" de la PII.
• Analiza los riesgos de protección de la privacidad junto con tres factores:
• Sus posibles consecuencias.
• La probabilidad de que ocurran.
• Su severidad.
• analiza y prioriza los riesgos identificados de acuerdo con su nivel de riesgo.

ISO 27701 Cláusula 5.4.1.3 (Tratamiento de riesgos de seguridad de la información) y artículo (32)(1)(b) del RGPD de la UE

Las organizaciones deben redactar e implementar un "proceso de tratamiento de riesgos" de protección de la privacidad/PII que:

• Implementar un 'plan de tratamiento de riesgos' de protección de la privacidad.
• Identifica cómo un PIMS debe tratar los niveles de riesgo individuales, basándose en un conjunto de resultados de evaluación.
• Destaca una serie de controles que son necesarios para implementar el tratamiento de riesgos de protección de la privacidad.
• Haga una referencia cruzada de cualquier control identificado con la lista completa proporcionada por ISO en Anexo A de la Norma ISO 27001.
• Documentar y justificar el uso de cualquier control utilizado en una 'Declaración de Aplicabilidad' formal.
• Busque la aprobación de los propietarios de riesgos antes de finalizar un plan de tratamiento de riesgos de protección de la privacidad que incluya cualquier protección de privacidad "residual" y riesgos de PII.

ISO 27701 Cláusula 6.11.1.2 (Seguridad en los procesos de desarrollo y soporte) y artículo 32 (1) (a) del RGPD UE

Los procedimientos de seguridad de las aplicaciones deben desarrollarse junto con políticas más amplias de protección de la privacidad, generalmente a través de una evaluación de riesgos estructurada que tenga en cuenta múltiples variables.

Los requisitos de seguridad de las aplicaciones deben incluir:

• Los niveles de confianza inherentes a todas las entidades de la red (ver ISO 27002 Controles 5.17, 8.2 y 8.5).
• La clasificación de datos que la aplicación está configurada para procesar (incluida la PII).
• Cualquier requisito de segregación.
• Protección contra ataques internos, externos y/o uso malicioso.
• Cualquier requisito legal, contractual o reglamentario vigente.
• Protección robusta de la información confidencial.
• Datos que deben protegerse en tránsito.
• Cualquier requisito criptográfico.
• Controles seguros de entrada y salida.
• Uso mínimo de campos de entrada sin restricciones, especialmente aquellos que tienen el potencial de almacenar datos personales.
• El manejo de mensajes de error, incluida la comunicación clara de los códigos de error.

Los servicios transaccionales que facilitan el flujo de datos de privacidad entre la organización y una organización tercera u organización asociada deben:

1. Establecer un nivel adecuado de confianza entre las identidades organizacionales.
2. Incluir mecanismos que verifiquen la confianza entre identidades establecidas (por ejemplo, hash y firmas digitales).
3. Describir procedimientos sólidos que gobiernen lo que los empleados pueden gestionar documentos transaccionales clave.
4. Contener procedimientos de gestión documental y transaccional que cubran la confidencialidad, integridad, prueba de envío y recepción de documentos y transacciones clave.
5. Incluir orientación específica sobre cómo mantener las transacciones confidenciales.

Para cualquier aplicación que implique pedidos y/o pagos electrónicos, las organizaciones deben:

• Describir requisitos estrictos para la protección de datos de pagos y pedidos.
• Verifique la información de pago antes de realizar un pedido.
• Almacene de forma segura datos transaccionales y relacionados con la privacidad de una manera que sea inaccesible para el público.
• Utilice autoridades confiables al implementar firmas digitales, teniendo en cuenta la protección de la privacidad en todo momento.

Compatible con controles ISO 27002

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

Cláusula 27701 de ISO 6.12.1.2 (Abordando la seguridad en los acuerdos con proveedores) y artículo 32 (1) (b) del RGPD de la UE

Al abordar la seguridad dentro de las relaciones con los proveedores, las organizaciones deben asegurarse de que ambas partes sean conscientes de sus obligaciones con respecto a la privacidad, la seguridad de la información y las de cada uno de ellos.

Al hacerlo, las organizaciones deberían:

• Ofrezca una descripción clara que detalle la información de privacidad a la que se debe acceder y cómo se accederá a esa información.
• Clasifique la información de privacidad a la que se accederá de acuerdo con un esquema de clasificación aceptado (ver Controles ISO 27002 5.10, 5.12 y 5.13).
• Dar la debida consideración al propio esquema de clasificación de los proveedores.
• Clasifique los derechos en cuatro áreas principales (legales, estatutarias, regulatorias y contractuales) con una descripción detallada de las obligaciones por área.
• Asegúrese de que cada parte esté obligada a implementar una serie de controles que monitoreen, evalúen y administren los niveles de riesgo de seguridad de la información de privacidad.
• Describa la necesidad de que el personal del proveedor cumpla con los estándares de seguridad de la información de una organización (consulte ISO 27002 Control 5.20).
• Facilitar una comprensión clara de lo que constituye un uso aceptable e inaceptable de la información de privacidad y de los activos físicos y virtuales de cualquiera de las partes.
• Establecer controles de autorización necesarios para que el personal del proveedor acceda o vea la información de privacidad de una organización.
• Considerar lo que ocurre en caso de incumplimiento del contrato o de incumplimiento de las estipulaciones individuales.
• Describir un procedimiento de gestión de incidentes, incluido cómo se comunican los eventos importantes.
• Asegúrese de que el personal reciba capacitación en concientización sobre seguridad.
• (Si al proveedor se le permite utilizar subcontratistas) agregue requisitos para garantizar que los subcontratistas estén alineados con el mismo conjunto de estándares de seguridad de la información de privacidad que el proveedor.
• Considere cómo se examina al personal de los proveedores antes de interactuar con la información de privacidad.
• Estipular la necesidad de certificaciones de terceros que aborden la capacidad del proveedor para cumplir con los requisitos de seguridad de la información de privacidad de la organización.
• Tener el derecho contractual de auditar los procedimientos de un proveedor.
• Exigir a los proveedores que entreguen informes que detallen la efectividad de sus propios procesos y procedimientos.
• Concéntrese en tomar medidas para afectar la resolución oportuna y exhaustiva de cualquier defecto o conflicto.
• Asegurar que los proveedores operen con una política BUDR adecuada, para proteger la integridad y disponibilidad de la PII y los activos relacionados con la privacidad.
• Requerir una política de gestión de cambios del lado del proveedor que informe a la organización sobre cualquier cambio que tenga el potencial de afectar la protección de la privacidad.
• Implementar controles de seguridad física que sean proporcionales a la sensibilidad de los datos que se almacenan y procesan.
• (Cuando se vayan a transferir datos) solicite a los proveedores que se aseguren de que los datos y los activos estén protegidos contra pérdidas, daños o corrupción.
• Describa una lista de acciones que deberá tomar cualquiera de las partes en caso de rescisión.
• Pídale al proveedor que describa cómo pretende destruir la información de privacidad después de la terminación, o si los datos ya no son necesarios.
• Tome medidas para garantizar una interrupción mínima del negocio durante un período de transferencia.

Las organizaciones también deben mantener un registro de acuerdos, que enumera todos los acuerdos celebrados con otras organizaciones.

Compatible con controles ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Cláusula 6.15.2.1 (Revisión independiente de la seguridad de la información) y artículo 32 del RGPD UE

En esta sección hablamos de los artículos 32 (1) (b), 32 (1) (d) y 32 (2) del RGPD.

Las organizaciones deben desarrollar procesos que atiendan revisiones independientes de sus prácticas de seguridad de la información de privacidad, incluidas tanto políticas específicas de temas como políticas generales.

Las revisiones deben ser realizadas por:

• Auditores internos.
• Responsables departamentales independientes.
• Organizaciones de terceros especializadas.

Las revisiones deben ser independientes y estar realizadas por personas con suficiente conocimiento de las directrices de protección de la privacidad y de los procedimientos propios de la organización.

Los revisores deben establecer si las prácticas de seguridad de la información privada cumplen con los “objetivos y requisitos documentados” de la organización.

Además de las revisiones periódicas estructuradas, las organizaciones pueden encontrarse con la necesidad de realizar revisiones ad hoc desencadenadas por ciertos eventos, que incluyen:

• Tras modificaciones de políticas, leyes, directrices y reglamentos internos que afecten a la protección de la privacidad.
• Después de incidentes importantes que han impactado la protección de la privacidad.
• Cada vez que se crea un nuevo negocio o se implementan cambios importantes en el negocio actual.
• Tras la adopción de un nuevo producto o servicio que se ocupe de la protección de la privacidad de alguna manera.

ISO 27701 Cláusula 6.15.2.3 (Revisión de Cumplimiento Técnico) y Artículos 32 (1)(d) y (32)(2) del RGPD UE

Las organizaciones deben asegurarse de que el personal pueda revisar las políticas de privacidad en todo el espectro de operaciones comerciales.

La dirección debería desarrollar métodos técnicos para informar sobre el cumplimiento de la privacidad (incluida la automatización y herramientas personalizadas). Los informes deben registrarse, almacenarse y analizarse para mejorar aún más los esfuerzos de protección de la privacidad y la seguridad de la PII.

Cuando se descubren problemas de cumplimiento, las organizaciones deben:

• Establecer la causa.
• Decidir un método de acción correctiva para tapar las brechas de cumplimiento.
• Vuelva a revisar el problema después de un período de tiempo apropiado para asegurarse de que se resuelva.

Es de vital importancia adoptar medidas correctivas lo antes posible. Si los problemas no están completamente resueltos para el momento de la próxima revisión, como mínimo, se deben proporcionar pruebas que demuestren que se están logrando avances.

ISO 27701 Cláusula 6.5.2.1 (Clasificación de la información) y Artículo (32)(2) del RGPD UE

En lugar de poner toda la información en pie de igualdad, las organizaciones deberían clasificar la información según un tema específico.

Los propietarios de la información deben considerar cuatro factores clave al clasificar los datos (especialmente los relacionados con la PII), que deben revisarse periódicamente o cuando dichos factores cambien:

1. El confidencialidad de los datos.
2. El integridad de los datos.
3. Datos disponibilidad .
4. la organizacion obligaciones legales hacia PII.

Para proporcionar un marco operativo claro, las categorías de información deben nombrarse de acuerdo con el nivel de riesgo inherente, en caso de que ocurra algún incidente que comprometa cualquiera de los factores anteriores.

Para garantizar la compatibilidad entre plataformas, las organizaciones deben poner sus categorías de información a disposición de cualquier personal externo con el que compartan información y garantizar que todas las partes relevantes comprendan ampliamente el propio esquema de clasificación de la organización.

Las organizaciones deben tener cuidado con la subclasificación o, por el contrario, la sobreclasificación de datos. Lo primero puede dar lugar a errores al agrupar la PII con tipos de datos menos sensibles, mientras que lo primero a menudo genera gastos adicionales, una mayor probabilidad de errores humanos y anomalías en el procesamiento.

ISO 27701 Cláusula 6.5.3.1 (Gestión de medios extraíbles) y artículo 32 (1) (a) del RGPD UE

Al desarrollar políticas que gobiernen el manejo de los activos de medios involucrados en el almacenamiento de PII, las organizaciones deben:

• Desarrollar políticas únicas para temas específicos basadas en requisitos departamentales o laborales.
• Asegúrese de que se solicite y otorgue la autorización adecuada antes de que el personal pueda retirar medios de almacenamiento de la red (incluido mantener un registro preciso y actualizado de dichas actividades).
• Almacene los medios de acuerdo con las especificaciones del fabricante, libres de cualquier daño ambiental.
• Considere utilizar cifrado como requisito previo para acceder o, cuando esto no sea posible, implementar medidas de seguridad física adicionales.
• Minimice el riesgo de que la PII se corrompa transfiriendo información entre medios de almacenamiento, según sea necesario.
• Introduzca la redundancia de PII almacenando información protegida en múltiples activos al mismo tiempo.
• Autorice únicamente el uso de medios de almacenamiento en entradas aprobadas (es decir, tarjetas SD y puertos USB), activo por activo.
• Supervise de cerca la transferencia de PII a medios de almacenamiento, para cualquier propósito.
• Tenga en cuenta los riesgos inherentes a la transferencia física de medios de almacenamiento (y, por proxy, la PII contenida en ellos), al mover activos entre personal o instalaciones (consulte ISO 27002 Control 5.14).

Al reutilizar, reutilizar o desechar medios de almacenamiento, se deben implementar procedimientos sólidos para garantizar que la PII no se vea afectada de ninguna manera, incluidos:

• Formatear los medios de almacenamiento y garantizar que toda la PII se elimine antes de su reutilización (consulte Control ISO 27002 8.10), incluido el mantenimiento de la documentación adecuada de todas esas actividades.
• Eliminar de forma segura cualquier medio que la organización ya no utilice y que se haya utilizado para almacenar PII.
• Si la eliminación requiere la participación de un tercero, las organizaciones deben tener mucho cuidado para garantizar que sean un socio adecuado para realizar dichas tareas, en línea con la responsabilidad de la organización hacia la PII y la protección de la privacidad.
• Implementar procedimientos que identifiquen qué medios de almacenamiento están disponibles para su reutilización o pueden eliminarse en consecuencia.

Si los dispositivos que se han utilizado para almacenar PII se dañan, las organizaciones deben considerar cuidadosamente si es más apropiado destruir dichos medios o enviarlos a reparación (errando por el lado del primero).

ISO advierte a las organizaciones contra el uso de dispositivos de almacenamiento no cifrados para cualquier Actividades relacionadas con la PII.

Compatible con controles ISO 27002

• ISO 27002 5.14

ISO 27701 Cláusula 6.5.3.3 (Transferencia de medios físicos) y Artículo 32 (1)(a) del RGPD UE

Consulte la sección anterior sobre ISO 27701 Cláusula 6.5.3.1

Información adicional

Si los medios van a eliminar esa PII que anteriormente tenían, las organizaciones deben implementar procedimientos que documenten la destrucción de la PII y los datos relacionados con la privacidad, incluidas garantías categóricas de que ya no están disponibles.

Compatible con controles ISO 27002

• ISO 27002 5.14

Cláusula 27701 de ISO 6.7.1.1 (Política sobre el uso de controles criptográficos) y artículo 32 (1) (a) del RGPD de la UE

Las organizaciones deben utilizar cifrado para proteger el confidencialidad, autenticidad y integridad de PII e información relacionada con la privacidad, y cumplir con sus diversas obligaciones contractuales, legales o reglamentarias.

El cifrado es un concepto de gran alcance: no existe un enfoque único que sirva para todos. Las organizaciones deben evaluar sus necesidades y elegir una solución criptográfica que cumpla con sus objetivos comerciales y operativos únicos.

Las organizaciones deberían considerar:

• Desarrollar un tema específico enfoque de la criptografía, que tiene en cuenta diversos requisitos departamentales, operativos y basados ​​en roles.
• El nivel adecuado de protección (junto con el tipo de información que se va a cifrar).
• Dispositivos móviles y medios de almacenamiento.
• Gestión de claves criptográficas (almacenamiento, procesamiento, etc.).
• Roles y responsabilidades especializados para funciones criptográficas, incluida la implementación y la gestión de claves (consulte ISO 27002 Control 8.24).
• Los estándares técnicos de cifrado que se adoptarán, incluidos algoritmos, seguridad del cifrado y directrices de mejores prácticas.
• Cómo funcionará el cifrado junto con otros esfuerzos de seguridad cibernética, como la protección contra malware y la seguridad de las puertas de enlace.
• Leyes y directrices transfronterizas y transjurisdiccionales (consulte ISO 27002 Control 5.31).
• Contratos con socios de criptografía externos que cubren total o parcialmente la responsabilidad, la confiabilidad y los tiempos de respuesta.

Gestión de claves

Los procedimientos de gestión clave deben distribuirse en 7 funciones principales:

1. Generación.
2. Almacenamiento.
3. Archivado.
4. Recuperación.
5. Distribución.
6. Saliente.
7. Destrucción.

Los sistemas de gestión de claves organizacionales deberían:

• Administre la generación de claves para todos los métodos de cifrado.
• Implementar certificados de clave pública.
• Asegúrese de que todas las entidades humanas y no humanas relevantes reciban las claves necesarias.
• Guardar llaves.
• Modifique las claves, según sea necesario.
• Tenga procedimientos implementados para lidiar con claves potencialmente comprometidas.
• Retirar claves o revocar el acceso usuario por usuario.
• Recupere claves perdidas o que no funcionan correctamente, ya sea a partir de copias de seguridad y archivos de claves.
• Destruya las claves que ya no sean necesarias.
• Gestione el ciclo de vida de activación y desactivación, de modo que determinadas claves solo estén disponibles durante el período de tiempo que sean necesarias.
• Procesar solicitudes oficiales de acceso, de organismos encargados de hacer cumplir la ley o, en determinadas circunstancias, agencias reguladoras.
• Contiene controles de acceso que protegen el acceso físico a claves e información cifrada.
• Considerar la autenticidad de las claves públicas, antes de su implementación (autoridades certificadoras y certificados públicos).

Compatible con controles ISO 27002

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 Cláusula 6.9.3.1 (Copia de seguridad de la información) y Artículo 32 (1)(c) del RGPD UE

Las organizaciones deben redactar políticas temáticas específicas que aborden directamente cómo la organización realiza copias de seguridad de las áreas relevantes de su red para salvaguardar la PII y mejorar la resiliencia contra incidentes relacionados con la privacidad.

Los procedimientos BUDR deben redactarse para lograr el objetivo principal de garantizar que todos Los datos, el software y los sistemas críticos para el negocio se pueden recuperar siguiendo De pérdida de datos, intrusión, interrupción del negocio y fallas críticas.

Como prioridad, los planes BUDR deberían:

• Describir los procedimientos de restauración que cubran todos los sistemas y servicios críticos.
• Ser capaz de producir copias viables de cualquier sistema, dato o aplicación que forme parte de un trabajo de respaldo.
• Atender los requisitos comerciales y operativos de la organización (ver ISO 27002 Control 5.30).
• Almacene las copias de seguridad en una ubicación ambientalmente protegida que esté físicamente separada de los datos de origen (consulte Control ISO 27002 8.1).
• Pruebe y evalúe periódicamente los trabajos de respaldo con respecto a los tiempos de recuperación exigidos por la organización para garantizar la disponibilidad de los datos.
• Cifre todos los datos de respaldo relacionados con PII.
• Vuelva a verificar si hay pérdida de datos antes de ejecutar una tarea de respaldo.
• Adhiérase a un sistema de informes que alerte al personal sobre el estado de los trabajos de respaldo.
• Buscar incorporar datos de plataformas basadas en la nube que no son administradas directamente por la organización, en trabajos de respaldo internos.
• Almacene las copias de seguridad de acuerdo con una política de retención de PII adecuada (consulte Control ISO 27002 8.10).

Las organizaciones deben desarrollar procedimientos separados que se ocupen únicamente de la PII (aunque contenidos dentro de su plan BUDR principal).

Se deben tener en cuenta las variaciones regionales en los estándares PII BUDR (contractuales, legales y regulatorios) cada vez que se crea un nuevo trabajo, se modifican trabajos o se agregan nuevos datos PII a la rutina BUDR.

Siempre que surja la necesidad de restaurar la PII después de un incidente BUDR, las organizaciones deben tener mucho cuidado para devolver la PII a su estado original y revisar las actividades de restauración para resolver cualquier problema con los nuevos datos.

Las organizaciones deben mantener un registro de la actividad de restauración, incluido el personal involucrado en la restauración, y una descripción de la PII que se ha restaurado.

Las organizaciones deben consultar con cualquier agencia legislativa o reguladora y asegurarse de que sus procedimientos de restauración de PII estén alineados con lo que se espera de ellos como procesadores y controladores de PII.

Compatible con controles ISO 27002

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Cláusula 7.2.1 (Identificar y documentar el propósito) y Artículo 32 (4) del RGPD UE

Las organizaciones deben primero Identifique y luego grabar los motivos específicos para procesar la PII que utilizan.

Los directores de PII deben estar completamente familiarizados con las diversas razones por las cuales se procesa su PII.

Es responsabilidad de la organización transmitir estas razones a los directores de PII, junto con una "declaración clara" de por qué necesitan procesar su información.

Toda la documentación debe ser clara, completa y fácilmente comprensible para cualquier director de PII que la lea, incluido todo lo relacionado con el consentimiento, así como copias de los procedimientos internos (consulte las cláusulas 27701, 7.2.3 y 7.3.2 de ISO 7.2.8).

Compatible con controles ISO 27701

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

Cláusula 27701 de ISO 7.4.5 (desidentificación y eliminación de PII al final del procesamiento) y artículo 32 (1) (a) del RGPD de la UE

Las organizaciones deben destruir por completo cualquier PII que ya no cumpla un propósito o modificarla de manera que impida cualquier forma de identificación principal.

Tan pronto como la organización establezca que no es necesario procesar la PII en ningún momento en el futuro, la información debe ser borrado or desidentificado, según lo dicten las circunstancias.

ISO 27701 Cláusula 8.2.2 (Propósitos organizativos) y Artículo 32 (4) del RGPD UE

Desde el principio, la PII sólo debe procesarse de acuerdo con las instrucciones del cliente.

Los contratos deben incluir SLA relacionados con objetivos mutuos y cualquier escala de tiempo asociada en la que deban completarse.

Las organizaciones deben reconocer su derecho a elegir los distintos métodos que se utilizan para procesar la PII, que logren legalmente lo que el cliente busca, pero sin la necesidad de obtener permisos granulares sobre cómo la organización lo hace a nivel técnico.

Compatible con las cláusulas ISO 27701 y los controles ISO 27002

Cómo ayuda ISMS.online

La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente. Tú WILL Benefíciese de una gama de potentes funciones que le permitirán ahorrar tiempo.

ISMS.online también le facilita iniciar su camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa.

Descubre más por reservando una breve demostración de 30 minutos.