El ISO/IEC 29100 fue desarrollado por la Organización Internacional de Normalización (ISO, por sus siglas en inglés) y presentado en la ciudad de Lucerna (Suiza) en el 2007. Se trata de un estándar internacional enfocado en la privacidad de los datos. "Proporciona un marco de alto nivel para la protección de datos personales dentro de los sistemas de tecnología de la información y la comunicación (TIC)", señala Gianncarlo Gómez, docente del curso Gestión de la Ciberseguridad del PEE de ESAN.

El ISO/IEC 29100 es de naturaleza general y ubica a los aspectos organizacionales, técnicos y procedimientos "en un marco de privacidad". El objetivo de este marco normativo, según el experto, "es dar soporte a las organizaciones en la definición de los requerimientos para salvaguardar la privacidad en cualquier sistema en que se procese información, que está vinculada a los datos personales". Esto se ejecuta "sin dejar de lado las leyes locales, sino complementándose con ellas".

Como parte de esta norma, los requisitos para la protección de la privacidad se presentan en forma de once principios y conllevan a un mejor tratamiento de los datos personales:

1. Consentimiento y elección. Con este principio, una persona, mediante un permiso, puede escoger el procesamiento o no de sus datos. Además, se le brinda detalles sobre sus derechos de participación y acceso.
2. Propósito de legitimidad y especificación. Se ejecuta con las leyes aplicables y, antes de que la información sea reunida, se le informa al titular el propósito del tratamiento de datos.
3. Limitación de la colección. Debe ser limitada a las urgencias del propósito especificado. Además, se realiza bajo las consideraciones de las leyes aplicables.
4. Minimización de datos. Acude al principio de necesidad de saber con el fin de brindarle acceso a los datos al personal requerido. Además, se borran los datos que tengan propósitos expirados.
5. Limitación de uso, retención y divulgación. Se realiza de acuerdo a los propósitos explícitos, específicos y legítimos establecidos.
6. Precisión y calidad. Este principio busca que los datos procesados sean exactos, actualizados y relevantes para el propósito de uso.
7. Franqueza, transparencia y aviso. Proporciona al titular la información de las políticas de procesamiento.
8. Participación y acceso individual. Brinda facilidades al titular para que revise sus datos. Además, determina procedimientos para que los dueños de los datos logren ejercer sus derechos veloz y eficientemente.
9. Responsabilidad. Entre otras cosas, da información al titular si surge una brecha de seguridad que perjudique sus datos.
10. Seguridad de información. Establece controles operativos, estratégicos y funcionales con el fin de garantizar la confidencialidad e integridad de los datos personales.
11. Cumplimiento de privacidad. Mediante auditorías periódicas, se hace una verificación de todos los niveles de protección de los controles de seguridad.

Este estándar internacional se presenta como una valiosa medida que debe ser considerada en función de la protección de la privacidad de la información personal. Además, con la implementación del ISO/IEC 29100, una organización conseguirá incrementar la confiabilidad de la marca y la credibilidad por parte de los consumidores.

Si deseas averiguar más de este tema, inscríbete al curso Gestión de la Ciberseguridad del PEE de ESAN.

También puedes leer:

Seguridad informática: un aspecto esencial para las empresas actuales

Fuentes:

Entrevista a Gianncarlo Gómez, docente del curso Gestión de la Ciberseguridad del PEE de ESAN.

Vienna University of Economics and Business. Privacy Pattern Catalogue: A Tool for Integrating Privacy Principles of ISO/IEC 29100 into the Software Development Process.

Acosta, David. Revista SIC: ciberseguridad, seguridad de la información y privacidad. "ISO/IEC 29100:2011: Una introducción al marco de trabajo de privacidad para la protección de información de identificación personal (PII)".