Norma ISO 31700. Privacidad desde el diseño

norma-iso-31700

La norma ISO 31700-1:2023. Protección del consumidor. Privacidad por diseño para bienes y servicios de consumo.

Parte 1: Requisitos de alto nivel, publicada en enero de 2023, establece requisitos para la garantizar la privacidad a lo largo del ciclo de vida de un producto de consumo.

La publicación de esta norma surge por la necesidad de garantizar la privacidad durante todo el tratamiento de los datos de la organización y la protección de consumidores de bienes y servicios.

Esta norma está directamente relacionada con el Reglamento General de Protección de Datos (RGPD), que introduce la privacidad desde el diseño en su artículo 25. Esto supone que los responsables del tratamiento tienen la obligación de aplicar medidas efectivas técnicas y organizativas en el momento de diseñar un tratamiento de datos. Algunos ejemplos de medidas de seguridad serían la seudonimización o minimización de los datos.

Objetivos de la ISO 31700

La nueva norma cuenta con herramientas para la documentación de controles de seguridad, la evaluación de riesgos a la privacidad y el ejercicio de los derechos de los consumidores, como titulares de la información.

El objetivo que se persigue con esta nueva normativa es guiar a las organizaciones a acreditar que realmente cumple con la aplicación de la privacidad desde el diseño.

Beneficios de la ISO 31700

La implantación de esta norma ofrece:

  • Mayor confianza del consumidor.
  • Mayor protección de los datos personales.
  • Detección y gestión de riesgos de privacidad.
  • Cumplimiento normativo

Características de la ISO 31700

Las principales características de la privacidad desde el diseño son:

  • Ayuda a demostrar y mantener una actitud proactiva a los responsables del tratamiento.
  • Se concibe como un modelo preventivo, no reactivo.
  • Permite que la protección de datos sea un elemento más a valorar en la fase de diseño de un tratamiento de datos.
  • Ofrece una protección completa que garantiza la seguridad end to end, durante todo el ciclo de vida del tratamiento de datos.
  • Faculta al responsable del tratamiento, antes de iniciar un nuevo tratamiento de datos en una empresa, el análisis del estado de la técnica, los costes de la aplicación, la naturaleza de los datos que se pretende tratar, el ámbito de actuación del tratamiento, el contexto y fines, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de los interesados.

¿Cuáles son los principios de la ISO 31700?

Tal como se redactó originalmente, la privacidad desde el diseño (PbD, por las siglas de la traducción inglesa Privacy by Design) se desglosa en siete principios fundacionales:

  1. Enfoque proactivo, no reactivo. Y preventivo, no correctivo. Este se caracteriza por la adopción de medidas proactivas en lugar de reactivas.
  2. Privacidad como configuración predeterminada. Pretende ofrecer el máximo grado de privacidad garantizando la protección automática de los datos personales en cualquier sistema informático o proceso empresarial.
  3. Privacidad incorporada en la fase de diseño. Se integra en el diseño y la arquitectura de los sistemas informáticos y las prácticas empresariales.
  4. Funcionalidad total. La privacidad desde el diseño pretende dar cabida a todos los intereses y objetivos legítimos de una manera positiva, “win-win”, en la que todos salgan ganando.
  5. Seguridad End-to-End. La privacidad desde el diseño, integrada en el sistema antes de recoger el primer elemento de información, se extiende de forma segura a lo largo de todo el ciclo de vida de los datos.
  6. Visibilidad y transparencia. Los componentes y operaciones en los sistemas de información se mantienen visibles y transparentes, tanto para los usuarios como para los proveedores.
  7. Respeto a la privacidad de los usuarios. Se deben considerar los intereses y las necesidades de los interesados (usuarios).

En resumen, el nuevo estándar ISO 31700 supone un avance en materia de privacidad, aportando gran valor a todos aquellos desarrolladores de nuevos productos y organizaciones en general, independientemente de su volumen de negocio.