Esta es una reseña sobre la ISO/IEC 27018:2019 Código de práctica para la protección de la información de identificación personal (IIP) en la nube pública que actúan para quienes actúan como procesadores de la IIP, con el fin de orientar al usuario si le conviene o no profundizar en esta materia.
La ISO/IEC establece en el contexto de la norma lo siguiente:
“Los proveedores de servicios en la nube que procesan información de identificación personal (IIP) bajo contrato con sus clientes necesitan operar sus servicios de manera que permitan a ambas partes cumplir los requisitos de la legislación y los reglamentos aplicables que cubren la protección de la IIP.” (Fuente: Norma NTC ISO/IEC 27018:2019, negrillas nuestras)
“Un proveedor de servicios informáticos en la nube pública es un «procesador de la IIP» cuando procesa la IIP para y de acuerdo con las instrucciones de un cliente de servicios en la nube. El cliente del servicio en la nube, que tiene la relación contractual con el procesador de la IIP en la nube pública, puede ser desde una persona natural, un «principal de la IIP», que procesa su propia IIP en la nube, hasta una organización, un «controlador de la IIP», que procesa la IIP relacionada con muchos directores de la IIP” (Fuente: Norma NTC ISO/IEC 27018:2019).
Hoy en día, que toda la información se está migrando hacia la nube, nosotros debemos propender por asegurar la protección de la privacidad de la información.
La Norma ISO 27001 (norma certificable) la cual nos da la guía para la gestión de la seguridad de la información, cuenta con la norma complementaria ISO/IEC 27018:2019 (norma guía); la cual es un compendio de lineamientos y controles los cuales le ayudarán a proteger la información de identificación personal y a establecer salvaguardadas en la nube.
No es sólo tener la responsabilidad de la protección de la información personal, sino demostrarla efectivamente y una de las mejores prácticas para asegurar la protección de la información es la implementación de los controles de la norma ISO 27002 (norma guía); y si la complementamos con la norma ISO 27018 estaremos garantizando la protección de los datos personales a través de los lineamientos y herramientas definidas.
Estructura de la Norma ISO/IEC 27018:
Esta norma nos indica qué controles de la ISO 27002 (Código De Prácticas Para Controles De Seguridad De La Información), son aplicables, y, de manera adicional da lineamientos de lo que se debe tener en cuenta para la protección de los datos personales para los servicios en la nube.
También esta norma incluye un anexo donde se especifican nuevos controles que en conjunto con los controles de la ISO 27002, amplían el aseguramiento del tratamiento de datos personales que deben implementar los proveedores de servicios en la nube.
Temas como: Consentimiento, elección, especificación del propósito y legitimidad en la adquisición, imitación de uso, retención y divulgación de datos personales, entre otras son lineamientos importantes que se abordan en este anexo y que con su correcta implementación se garantizaría la correcta protección de los datos personales en la nube.
Comentarios y opiniones a:
Gustavo Garavito ggaravito@prismaconsultoria.com