ISO/IEC 29100 Un estándar relevante para proteger los datos personales

Con el objetivo de obligar a las entidades u organizaciones que hacen uso de datos personales en sus respectivos ámbitos nacionales, muchos países han desarrollado y mantienen un marco normativo - regulatorio sobre protección de datos personales o privacidad, de modo que se pueda sancionar los aspectos que por un uso inadecuado de estos datos personales se ocasione daños o impacto negativo a las personas. Esto genera una relación entre lo que se puede hacer técnicamente (por las posibilidades que aportan las tecnologías de la información) y lo que esta permitido ( normado en leyes o regulaciones sobre protección de datos personales). Este es un factor crítico de cumplimiento que necesita mantener un equilibrio entre el propósito (finalidad) para el cual se necesitan los datos personales desde la perspectiva del negocio (datos personales necesarios para el negocio, como por ejemplo información de sus clientes, usuarios, colaboradores, ejecutivos) y la responsabilidad por protegerlos para que estos no generen un daño a las personas a las que hacen referencia estos datos (los dueños de estos datos o también llamados titulares de datos personales o PII Principals). Este requerimiento esta cobrando relevancia a nivel global, obligando a las empresas y organizaciones a considerar este tema en sus operaciones, desarrollo y despliegue de arquitectura e infraestructura empresarial u organizacional entre otros aspectos necesarios para alcanzar los objetivos del negocio.

Con el objeto de facilitar la comprensión y homologar los conceptos base, la Organización Internacional de Estandarización " ISO " publicado un conjunto de estándares que abordan estos aspectos con el objetivo de facilitar el comercio internacional, ayudando a las empresas y organizaciones en cuanto al cumplimiento normativo desde un enfoque técnico neutral y que pueda ser viable en todo tipo de empresas u organizaciones sin importar el sector o tamaño.

ISO/IEC 29100, una norma que presenta un framework para privacidad (incluyendo la protección de datos personales), es la primera norma que necesitamos abordar para entender la terminología común, la forma en que se necesita establecer componentes de un framework simple pero poderoso y un conjunto de principios que orientan a las organizaciones en como actuar.

Por ello, es importante que conozcamos algunos alcances generales sobre esta norma:

• La norma se publico en el año 2011, por lo que no es una norma nueva ni reciente, esto es porque la privacidad no es una preocupación reciente sino que ya tiene algunas décadas, siendo la norma ISO/IEC 29100 el resultado del consenso de los países miembros de ISO en cuanto a un framework aceptable sobre privacidad.
• Sobre la actualización o siguiente edición de esta norma internacional, debemos señalar que esta norma fue revisada tras cumplir 5 años de su publicación y en el 2017 ha sido ratificada, es decir la norma se mantiene vigente y no amerita cambios mayores, esto no es de sorprender, toda vez que el framework y los principios continúan siendo vigentes y de hecho son cada vez mas útiles, en un entorno que ha evolucionado y donde el uso y procesamiento de altos volúmenes de datos es una tendencia (incluyendo datos personales).
• Una pequeña corrección, en línea con el punto anterior, el proceso de revisión si encontró alguno que mejorar en la norma, pero que no ameritan una nueva edición, motivo por el cual se ha publicado en el 2018 una corrección o "AMENDMENT 1: Clarifications", esto no cambia la norma pero si clarifica algunas palabras, haciendo que su entendimiento sea mejor, a pesar de ello esta corrección es muy pequeña.
• Sobre privacidad podemos señalar que esta norma no es la única norma ISO, de hecho existen otras normas que ayudan desde diferentes aspectos a las organizaciones en cuanto a privacidad (también aplica a protección de datos personales), las cuales han venido publicándose después de ISO/IEC 29100 a la fecha.
• Finalmente señalar que esta norma es parte de un conjunto de normas que ISO pone en libre descarga, con licencia individual y en formato digital, es decir se puede descargar libremente en PDF aceptando la licencia de uso. Con esto las personas interesadas en conocer el framework de privacidad tanto para uso académico o para su alineamiento en la organización pueden obtenerla sin mayor problema desde AQUÍ.

Fuente: Carlos A. Horna Vallejos - Director ejecutivo en GTDI, consultor en estándares internacionales ISO y stakeholder en desarrollo sostenible