ISO 27018. Protección de datos personales en la nube pública

Introducción a la ISO 27018

La norma “ISO/IEC 27018:2019. Tecnología de la información – Técnicas de seguridad – Código de práctica para la protección de información personal identificable (PII) en nubes públicas que actúan como procesadores de PII” se establecen los objetivos de control comúnmente aceptados, controles y directrices para la aplicación de las medidas de protección de los datos de carácter personal (Personally Identifiable Information – PII), de conformidad con los principios de privacidad de la norma ISO 29100 para el entorno de computación pública en la nube.

En particular, en este documento se especifican las directrices basadas en la norma ISO 27002, teniendo en cuenta los requisitos reglamentarios para la protección de los datos personales que pueden ser aplicables en el contexto del entorno o entornos de riesgo para la seguridad de la información de un proveedor de servicios públicos en la nube.

Este documento es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, las Administraciones Públicas y las organizaciones sin fines de lucro, que prestan servicios de procesamiento de información como procesadores de datos personales mediante la computación en la nube bajo contrato con otras organizaciones.

Las directrices del presente documento también pueden ser pertinentes para las organizaciones que actúan como responsables del tratamiento de datos de carácter personal. Sin embargo, estos responsables pueden estar sujetos a la normativa vigente en la materia (RGPD, LOPDGDD) este documento no tiene por objeto abarcar esas obligaciones adicionales.

Beneficios de la ISO 27018

La ISO 27018:

  • Inspira confianza en el negocio. Proporciona una mayor seguridad a los clientes e interesados de que los datos personales están protegidos.
  • Ventaja competitiva. La organización se destaca de sus competidores al proteger los datos personales al más alto nivel.
  • Protege la protección de la marca. Reduce el riesgo de publicidad adversa debido a violaciones de datos.
  • Reduce los riesgos. Garantiza que los riesgos se identifican y que se establecen controles para gestionarlos o reducirlos.
  • Protege contra las multas. Asegura que se cumpla la normativa vigente en materia de protección de datos personales, reduciendo el riesgo de multas por violaciones de datos.
  • Ayuda a hacer crecer el negocio. Proporciona directrices comunes en diferentes países, facilitando la realización de negocios a nivel mundial y el acceso como proveedor preferente.

Comparativa respecto a la ISO 27001

Además de las modificaciones en los controles de la ISO 27001, en el anexo A de la norma ISO 27018 se incluyen los siguientes controles adicionales que deberían aplicarse para aumentar el nivel de protección de los datos personales en la nube:

  • Derechos de acceso y eliminación de los datos
  • Procesamiento de los datos sólo para el propósito para el cual el cliente los ha proporcionado
  • No utilizar los datos para fines comerciales ni publicidad
  • Eliminación de los archivos temporales