ISO 19600 y sistemas de gestión de protección de datos

La entrada en vigor del Reglamento Europeo de Protección de Datos junto con el reciente impulso del anteproyecto de Ley Orgánica de protección de datos de carácter personal, ilustran un escenario lleno de nuevos requisitos que las organizaciones deben cumplir. Aunque vienen realizando esfuerzos de adaptación a este entorno, las organizaciones afrontan el reto de mantener ese nivel de cumplimiento de manera continuada, planteándose establecer sistemas de gestión que les ayuden a conseguirlo. Este interés ya se constató en el Reino Unido durante el año 2009, con ocasión de la publicación del estándar BS 10012 sobre requisitos de los sistemas de gestión para información personal. En la actualidad, otros países desvían la mirada a estándares de compliance más modernos e internacionales para ayudar a la gestión de este nuevo entorno, entrando en juego la Norma ISO 19600 sobre Compliance Management Systems (CMS).

La reciente regulación en materia de datos personales adopta una evidente aproximación basada en el riesgo, muy alineada con el enfoque que también siguen los estándares internacionales basados en la estructura de alto nivel de ISO/IEC. Además, el responsable del tratamiento de datos personales debe ser capaz de demostrar el correcto cumplimiento de sus obligaciones, lo que conlleva la trazabilidad documental de actividades, asignación de roles, responsables, criterios, etc., que son aspectos igualmente tratados en estos sistemas de gestión. Como sucede en otras áreas de compliance, la diligencia debida de las organizaciones y sus responsables se medirá según hayan organizado el cumplimiento de sus obligaciones en materia de datos personales. Y como en otros ámbitos también, avalará su conducta recurrir a prácticas reconocidas internacionalmente.

El estándar ISO 19600 contiene directrices para establecer sistemas de gestión de compliance en general. Una parte importante de sus contenidos se han trasladado a estándares sobre ámbitos específicos del compliance, como la Norma ISO 37001 sobre sistemas de gestión antisoborno, o la Norma UNE 19601 sobre sistemas de gestión de compliance penal. El nivel de aceptación internacional de sus contenidos es muy holgado, como se deduce de la próxima publicación del primer China National Standard sobre compliance, basado en la Norma ISO 19600. Siendo el texto sobre compliance por excelencia, ya se ha identificado como patrón para articular sistemas de gestión en el ámbito de la protección de datos personales. Es más, su contenido es también útil para desarrollar una evaluación de proximidad en relación con las buenas prácticas que recoge. En este sentido, recurrir al estándar ISO 19600 permite conocer hasta qué punto se están asumiendo requisitos de compliance (los de protección de datos, por ejemplo) conforme a prácticas de gestión generalmente aceptadas, brindando confort a la organización y sus responsables. De hecho, en otros ámbitos del compliance, este estándar internacional ya se ha considerado un criterio adecuado para que un auditor desarrolle encargos de aseguramiento (“assurance”) distintos de la auditoría o la revisión de la información financiera, empleando el International Standard on Assurance Engagements (ISAE) 3000, aprobado por el International Auditing and Assurance Standards Board (IAASB), por ejemplo.

Enmarcar el cumplimiento de los requisitos de la normativa sobre protección de datos personales dentro de un sistema de gestión reafirma el compromiso y diligencia de la organización con esta materia. Permite encajar debidamente actividades tan relevantes como la evaluación de los riesgos de compliance, según se describe en el video de la Serie Compliance Basics de este mes, y que tanta importancia tiene en el nuevo entorno sobre protección de datos personales.


Organizaciones en otros países ya han advertido estas ventajas y ponen los ojos en la norma internacional “decana” en el ámbito del compliance. Es una inversión segura.