Seguridad de la información y protección de datos de carácter personal. ISO 27001 y RGPD.
Con ocasión de la práctica efectiva de nuestros servicios de asesoramiento empresarial integral a nuestros clientes me encuentro, a menudo, con una normal confusión que hoy trataremos de aclarar en relación a dos cuestiones íntimamente relacionadas pero que son muy distintas en la práctica.
De la misma forma que el conocido aforismo jurídico: “Toda Ley es Norma, pero no toda Norma es ley” –en clara referencia a que el conjunto que designa el término “Norma” es más amplio que el que designa la palabra “Ley”, los conceptos de seguridad de la información y de protección de datos personales deben ser claramente definidos en su extensión para poder explicar claramente algunas confusiones que, en la práctica, por desgracia, muchas veces se producen. Así, mientras la seguridad de la información -con todas la salvedades que debamos hacer a la hora de aproximarnos a un concepto tan complejo- abarca, también, la que contiene datos personales, la protección de datos personales protege a aquella parte de la información (conjunto de datos) que constituyen únicamente datos de carácter personal.
Efectivamente, existe información muy relevante e incluso estratégica para la propia existencia de la humanidad (infraestructuras críticas, seguridad nacional, etc,..) que debe estar altamente protegida en términos de seguridad de la información y sin embargo puede que no esté sometida a las reglas de la seguridad que el RGPD establece para los datos personales: confidencialidad, integridad y disponibilidad de la información que incluya estos datos personales (si el Responsable del tratamiento es una administración u organismo público, etc,.. además le añadiremos la autenticidad y la trazabilidad). Y ello porque el fenómeno de la digitalización provocó un salto cualitativo en la gestión de la información que no pudo “pararse” en el hecho de que la información objeto de digitalización y comunicación en cualquier tiempo y lugar tenía datos personales que se iban a convertir en el futuro de la economía actual.
Por lo tanto, cuando abordamos procesos de gestión de la Privacidad de las personas en relación con el tratamiento de sus datos personales por parte de empresas e instituciones nos vemos obligados a inter actuar con los profesionales de la gestión de la información y, por ende, de su seguridad que, en la mayoría de las ocasiones se han encontrado con el tema de la privacidad desde un punto de vista, como decimos en el sector: “trabajar para la norma”, es decir, establecer los mecanismos que la norma exige, bajo el prisma de “mínimos” sin atender a la esencia de la norma que se está implementando. Sin entrar aquí en el debate sobre el porqué la protección de datos se ve tradicionalmente por las empresas como un mal menor etc, cuando debería ser una oportunidad para aprovechar su potencial como hacen algunos de los operadores (Google, Apple) que han sido tachados de sospechosos en esta materia (vid. https://empresas.blogthinkbig.com/privacidad-diferencial-google-apple-la-usan-con-tus-datos/ ) es lo cierto que este enfoque prima hoy en día por mucho que se esté avanzando en materia de privacidad diferencial, identidad digital soberana, etc,.. Y el resultado de ello es pues, como se intenta explicar, la existencia de confusiones e incluso debates acerca de quienes están llamados a proteger la información.
Y en este sentido cabe señalar que, como coloquialmente suele decirse, existe, en ocasiones, un auténtico diálogo de sordos entre los responsables de la protección de datos personales y los de la seguridad de la información como trata de reflejarse en la imagen siguiente
Por lo que aquí interesa y toda vez que tanto en la información compilada hasta la fecha como la que se sigue recopilando no se tiene en cuenta esta singularidad del tratamiento de los datos personales en su vertiente de seguridad (confidencialidad, integridad y disponibilidad), nos encontramos con todo un abanico de graves problemas que afectan a las empresas que no disocian de su información económica la que se refiere a sus clientes o empleados, etc,… simplemente porque no existe un diseño (privacy by design) a la hora de obtener y tratar esta información.
Afortunadamente los sistemas de gestión de seguridad de la información basados en el estándar de la ISO 27001 permiten adecuar las exigencias del RGPD en términos de medidas de seguridad concretas para la protección de la seguridad de la información que implique el tratamiento de datos personales, empero, de hecho, lo que ocurre es que los llamados a entenderse en orden a concretar dichas medidas no suelen hablar el mismo idioma pesar de estar amos regidos por códigos.
Juan José Cortés Vélez
Of Counsel del Área Compliance y Legaltech de Devesa & Calvo Abogados