Professional Documents
Culture Documents
ISO 29100 Protección de Datos Personales
ISO 29100 Protección de Datos Personales
ISO/IEC 29100:2011(E)
ISO/IEC
ESTÁNDAR 29100
INTERNACIONAL Primera edición
2011-12-15
Número de referencia
ISO / IEC 29100: 2011 (E)
© ISO/IEC 2011
Contenido
Prefacio .................................................................................................................................................................................. 5
Introducción ......................................................................................................................................................................... 6
1. Alcance......................................................................................................................................................................... 7
2. Términos y definiciones ........................................................................................................................................... 7
3. Símbolos y términos abreviados ......................................................................................................................... 11
4. Elementos básicos del marco de privacidad .................................................................................................... 11
4.1 Resumen del marco de privacidad ................................................................................................................ 11
4.2 Actores y roles .................................................................................................................................................... 11
4.2.1 Titular de PII.................................................................................................................................................... 12
4.2.2 Responsable del tratamiento de PII ......................................................................................................... 12
4.2.3 Procesadores de PII...................................................................................................................................... 12
4.2.4 Terceros .......................................................................................................................................................... 12
4.3 Interacciones ....................................................................................................................................................... 13
4.4 Reconociendo los Datos Personales ............................................................................................................. 14
4.4.1 Identificadores ............................................................................................................................................... 14
4.4.2 Otras características distintivas ................................................................................................................. 14
4.4.3 Información que está o podría estar vinculada a un titular de PII .................................................... 16
4.4.4 Datos Seudónimos ....................................................................................................................................... 16
4.4.5 Metadatos ....................................................................................................................................................... 16
4.4.6 Datos Personales no solicitados ............................................................................................................... 17
4.4.7 Datos Personales sensibles ........................................................................................................................ 17
4.5 Requisitos para la protección de la privacidad ........................................................................................... 17
4.5.1 Factores legales y regulatorios .................................................................................................................. 19
4.5.2 Factores contractuales ................................................................................................................................ 20
4.5.3 Factores de protección de privacidad ...................................................................................................... 20
4.5.4 Otros factores ................................................................................................................................................ 20
4.6 Políticas de Privacidad ...................................................................................................................................... 21
4.7 Controles de privacidad.................................................................................................................................... 22
5. Los principios de privacidad del ISO/IEC 29100 .............................................................................................. 23
5.1 Visión general de los principios de privacidad ............................................................................................ 23
5.2 Consentimiento y elección ............................................................................................................................... 23
5.3 La legitimidad del propósito y especificación .............................................................................................. 24
5.4 Límites a la recolección..................................................................................................................................... 25
5.5 Minimización de los datos................................................................................................................................ 25
5.6 Límites al uso, retención y divulgación.......................................................................................................... 26
5.7 Exactitud y calidad ............................................................................................................................................. 26
5.8 Apertura, transparencia y notificación .......................................................................................................... 27
5.9 Participación y acceso individual .................................................................................................................... 27
Prefacio
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las
Directivas ISO / IEC, Parte 2.
La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los
Proyectos de Normas Internacionales adoptados por el comité técnico conjunto son enviados
a los organismos nacionales para su votación. La publicación como Norma Internacional
requiere la aprobación por al menos el 75% de los organismos nacionales con derecho a voto.
ISO/IEC 29100 fue preparada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la
información, Subcomité SC 27, Técnicas de seguridad de TI.
Introducción
Esta Norma Internacional proporciona un marco de alto nivel para la protección de datos
personales (PII) dentro de los sistemas de tecnología de la información y la comunicación (TIC).
Es de naturaleza general y aspectos organizacionales, técnicos y procedimentales en un marco
de privacidad total.
El marco de privacidad está diseñado para ayudar a las organizaciones a definir su privacidad
salvaguardando los requisitos relacionados con los PII dentro de un entorno de TIC:
El marco de confidencialidad previsto en esta norma internacional pueden servir como base
para iniciativas de estandarización de privacidad adicionales, tales como:
- una arquitectura de referencia técnica;
- la implementación y uso de tecnologías específicas de privacidad y, en general, la
gestión de la privacidad;
- controles de privacidad para los procesos de datos externos;
- las evaluaciones de riesgos de privacidad; o
- especificaciones de ingeniería específicos.
1. Alcance
2. Términos y definiciones
Para los propósitos de este documento, los siguientes términos y definiciones son aplicables.
NOTA: Con el fin de hacer más fácil el uso de la familia de normas ISO/IEC 27000 en el contexto específico de la
privacidad y la integración de los conceptos de privacidad, el cuadro del Anexo A proporciona la correspondencia
entre el ISO/IEC 27000 conceptos con la norma ISO / IEC 29100 conceptos.
2.1
Anonimato
Característica de la información que no permite que un titular de datos personales sea
identificado directa o indirectamente
2.2
Anonimización
Proceso por el cual los datos personales (PII) son irreversiblemente alterados, de tal manera
que, un titular de PII no puede ser identificado directa o indirectamente, ya sea por el
responsable del tratamiento de PII solo o en colaboración con cualquier otra parte (terceros)
2.3
Datos anónimos
Datos que se ha producido como resultado de un proceso de anonimización de datos
personales
7 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
2.4
Consentimiento
Datos personales (PII) brindados mediante un acuerdo específico e informado para su
tratamiento
2.5
Identificabilidad
Condición que resulta en un principio de datos personales (PII) de ser identificados, directa o
indirectamente, sobre la base de un conjunto dado de PII
2.6
Identificar
Establecer la relación entre un titular de PII y un conjunto de PII
2.7
Identidad
Conjunto de atributos que permiten identificar al titular de los datos personales
2.8
opt-in (optar)
Proceso o tipo de política, mediante la cual, se requiere que el titular de PII tome una acción
para expresar el consentimiento explícito y previo para que sus PII sean procesados para un
propósito particular
NOTA: otro término que se utiliza a menudo con el principio de confidencialidad y consentimiento 'Choice' es "opt-
out". Describe un proceso o el tipo de política por la cual el titular de PII está obligado a tomar una acción separada
para retener o retirar el consentimiento, u oponerse a un tipo específico de procesamiento. El uso de una política de
opt-out presume que el responsable del tratamiento de PII tiene derecho a procesar los datos personales. Este
derecho puede ser implícito por alguna acción del titular de PII diferente del consentimiento (por ejemplo, realizar un
pedido en la tienda online).
2.9
Datos personales PII
Cualquier información que (a) puede utilizarse para identificar al titular de PII a quien se refiere
dicha información, o (b) es o podría vincularse directa o indirectamente a un titular de PII
NOTA: Para determinar si un titular de PII es identificable, se deben tomar en cuenta todos los medios que
razonablemente pueden ser utilizados por la parte interesada, o por cualquier otra parte, para identificar a la persona
natural.
2.10
Responsable del tratamiento de PII
Parte interesada en la privacidad (O partes interesadas en la privacidad) que determina los
propósitos y medios para procesar información personal identificable (PII) que no sean
personas naturales que usan datos para fines personales
NOTA: Un responsable del tratamiento de PII a veces da instrucciones a otros (por ejemplo, procesadores de PII) para
procesar los PII en su nombre, mientras que la responsabilidad derivada del tratamiento permanece con el
responsable del tratamiento de PII.
2.11
8 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
Titular de PII
Persona natural a la que se refiere la información personal identificable (PII)
2.12
Procesador de PII
Interesados que procesan los datos personales (PII) en nombre de y de acuerdo con las
instrucciones de un responsable del tratamiento de PII
2.13
Violación de la privacidad
Situación de infracción de privacidad donde se procesa los datos personales en violación de
uno o más requisitos de protección de privacidad pertinentes
2.14
Controles de privacidad
Medidas que tratan los riesgos de privacidad, reduciendo su probabilidad o sus consecuencias
Nota 1 los controles de privacidad incluyen los tipos organizativos, físicos y técnicos necesarios; por ejemplo, políticas,
procedimientos, directrices, contratos legales, prácticas de gestión o estructuras organizativas.
2.15
Tecnología de mejora de la privacidad
PET
control de privacidad, que consiste en productos o servicios de Tecnologías de información y
la comunicación (TIC), que protegen la privacidad eliminando o reduciendo los accesos a
datos personales (PII) o mediante la prevención de su procesamiento innecesario y/o no
deseada, todo ello sin perder la funcionalidad de los sistemas de TIC
NOTA 1 Ejemplos de PET incluyen, pero no se limitan a, las herramientas de anonimato y de seudónimos que eliminan,
reducen, enmascaran, o impiden el procesamiento innecesario, no autorizado y/o indeseable de los PII.
NOTA 2 El enmascaramiento es el proceso que oscurece los datos personales.
2.16
Política de privacidad
Intención y dirección general, normas y compromiso formalmente expresadas por el
responsable del tratamiento de PII, relacionadas con el procesamiento de datos personales
en un escenario particular
2.17
Preferencias de privacidad
Opciones específicas realizadas por el titular de PII, sobre cómo se deben procesar sus datos
personales para un propósito particular
2.18
Principios de privacidad
Conjunto de valores comunes que rigen la protección de la privacidad de los datos personales
(PII) cuando se procesa en los sistemas de tecnología de información y comunicación
2.19
Riesgo de privacidad
Efecto de la incertidumbre sobre la privacidad
Nota 1 El riesgo se define como "el efecto de la incertidumbre sobre los objetivos", según la Guía ISO 73 e ISO 31000.
Nota 2 La incertidumbre es el estado, aunque sea parcial, de la deficiencia de la información relacionada con el
conocimiento, entendimiento o de un evento, su consecuencia, o probabilidad.
2.20
Evaluación de riesgo para la privacidad
Proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos en
relación con el procesamiento de los datos personales (PII)
2.21
Requisitos de protección de privacidad
Un conjunto de requisitos que una organización ha de tener en cuenta al procesar datos
personales (PII) respecto a la protección de la privacidad.
2.22
Partes interesadas de la privacidad
Persona natural o jurídica, entidad pública, agencia o cualquier otro organismo que puede
afectar, ser afectado por, o se percibe afectado por una decisión o actividad relacionada con el
procesamiento de datos personales (PII)
2.23
Procesamiento de PII
Operación o conjunto de operaciones realizadas sobre los datos personales (PII)
Nota Ejemplos de operaciones de procesamiento de PII incluyen, pero no están limitadas a, la recolección, el
almacenamiento, la modificación, la recuperación, consulta, divulgación, anonimato, seudónimos, difusión o puesta a
disposición, la supresión o La destrucción de los PII.
2.24
Seudomizacion
Proceso aplicado a los datos personales (PII) que lo sustituye con un alias
Nota 1 La seudomizacion puede realizarse ya sea por ellos mismos o por los responsables del tratamiento. Puede ser
utilizado por los titulares en un recurso o servicio sin revelar su identidad a este recurso o servicio (o entre servicios.
NOTA 2 La seudomizacion no descarta la posibilidad de que podría haber (un conjunto restringido de) partes
interesadas de privacidad que no sea el responsables del tratamiento de los PII, que sean capaces de determinar la
identidad del titular de los PII basado en el alias y los datos vinculados a ella.
2.25
Uso secundario
Procesamiento (tratamiento) de los datos personales (PII) en condiciones que difieren de las
iniciales
NOTA: condiciones que difieren de las iniciales podrían incluir, por ejemplo, un nuevo propósito (finalidad) para el
procesamiento de información, un nuevo destinatario de los PII, etc.
2.26
Datos personales sensibles
Categoría de datos personales (PII), cuya naturaleza es sensible, como los relacionados a la
esfera más íntima de la persona, o que puedan tener un impacto significativo sobre el titular
de los datos personales.
NOTA En algunas jurisdicciones o en contextos específicos, PII sensibles se define en función de la naturaleza de los
datos personales y puede consistir en información que revela el origen racial, las opiniones políticas o creencias
religiosas o de otro tipo, datos personales sobre la salud, la vida sexual o condenas penales, así como otra
información de identificación personal que podría definirse como sensible.
2.27
Terceras partes
Partes interesadas en la privacidad que no son el titular, el responsables del tratamiento, el
procesador, ni las personas naturales que están autorizadas a tratar los datos bajo la
autoridad directa del responsable del tratamiento PII o el procesador PII
Para los propósitos de esta norma, es importante identificar a los actores involucrados en el
procesamiento de los PII. Existen cuatro tipos de actores que pueden estar implicados en el
procesamiento los datos personales: los titulares de PII, responsables del tratamiento,
procesadores y terceros.
11 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
Los titulares de PII proporcionan sus PII, para su procesamiento, a los responsables del
tratamiento y procesadores de PII y, cuando no se disponga lo contrario por la ley aplicable,
dan su consentimiento y determinan sus preferencias de privacidad para saber cómo se debe
procesar sus PII.
Por ejemplo, un empleado que figura en el sistema de recursos humanos de una empresa, el
consumidor mencionado en un informe de crédito, un paciente en un expediente médico
electrónico.
No siempre es necesario que la persona natural respectiva se identifique directamente por su
nombre para poder ser considerada como un titular de PII. Si la persona natural a la que se
refiere los PII puede identificarse indirectamente (por ejemplo, a través de un identificador de
cuenta, número de seguro social o incluso a través de la combinación de atributos
disponibles), se considera que es el titular para ese conjunto de PII.
Un responsable del tratamiento determina qué (finalidad) y cómo (los medios) se lleva a cabo
el procesamiento de los datos personales .
El responsable del tratamiento de los PII debe garantizar el cumplimiento de los principios de
privacidad en este marco durante el procesamiento de Datos personales bajo su control (por
ejemplo, mediante la implementación de los controles de privacidad necesarias). Puede haber
más de un responsable del tratamiento de PII para el mismo conjunto de PII o conjunto de
operaciones realizadas sobre los PII (Para los mismos o diferentes propósitos legítimos). En
este caso, los diferentes responsables del tratamiento de PII deberán trabajar juntos y tomar
las medidas necesarias para garantizar que los principios de privacidad se cumplen durante el
procesamiento de datos personales.
Un responsable del tratamiento de PII también puede decidir tener todas o parte de las
operaciones de tratamiento realizadas por diferentes actores de privacidad en su nombre. Los
responsables del tratamiento de PII deben evaluar cuidadosamente si son o no PII sensibles y
aplicar razonable y apropiadamente los niveles de privacidad y los controles de seguridad
basados en los requisitos establecidos en la jurisdicción pertinente, así como los posibles
efectos adversos para los titulares de PII identificados durante la evaluación del riesgo para la
privacidad.
4.2.4 Terceros
Un tercero puede recibir PII desde un responsable del tratamiento o un procesador de PII. Un
tercero no procesa datos personales en nombre del responsable del tratamiento de PII. En
4.3 Interacciones
Los actores identificados en la cláusula anterior pueden interactuar entre sí en una variedad
de formas. En cuanto a los posibles flujos de PII entre el titular, el responsable del tratamiento
y el procesador, se pueden identificar los siguientes escenarios:
Las funciones del titular de PII, el responsable del tratamiento de PII, procesador de PII y
terceros, en estos escenarios, se ilustran en la Tabla 1.
Existe la necesidad de distinguir entre los procesadores PII y terceros porque el control legal
(jurídico) de los PII permanece en el responsable del tratamiento cuando se envía a través del
procesador PII, mientras que un tercero pueda convertirse en un responsable del tratamiento
de PII por derecho propio, una vez que ha recibido los PII en cuestión. Por ejemplo, cuando
un tercero hace que la decisión de transferir los PII que ha recibido de un responsable del
tratamiento de PII a otra parte, estaría actuando como un responsable del tratamiento de PII
en su propio derecho y, por lo tanto, dejar de ser considerado como un tercero.
En lo que se refiere a los posibles flujos de PII entre los controladores y procesadores de PII
por un lado, y terceros por otro lado, los siguientes escenarios se pueden identificar:
Las funciones del responsable del tratamiento de PII y un tercero en estos escenarios también
se ilustran en la Tabla 1.
Tabla 1 - posibles flujos y roles de PII entre el titular, responsable del tratamiento, procesador
y terceros
Responsable del
Titular de PII Procesador de PII Terceros
tratamiento de PII
Escenario a) Proveedor de PII Receptor de PII - -
Escenario b) - Proveedor de PII Receptor de PII -
Escenario c) Proveedor de PII - Receptor de PII -
Escenario d) Receptor de PII Proveedor de PII - -
Escenario e) Receptor de PII - Proveedor de PII -
Escenario f) - Receptor de PII Proveedor de PII -
Escenario g) - Proveedor de PII - Receptor de PII
Escenario h) - - Proveedor de PII Receptor de PII
Para determinar si una persona natural debe considerarse o no identificable, hay que tener en
cuenta varios factores. En particular, deben considerarse todos los medios que,
razonablemente, puedan utilizar los interesados en la protección de la privacidad que posean
los datos o cualquier otra parte para identificar a una persona. Los sistemas de TIC deberían
aportar los mecanismos que harán que el titular de PII esté al tanto de sus datos personales y
proporcione los controles apropiados sobre el intercambio de esa información.
Los siguientes sub-cláusulas proporcionan una explicación adicional sobre cómo determinar si
un titular de datos personales debe considerarse identificable o no.
4.4.1 Identificadores
En ciertos casos, la identificabilidad del titular de datos personales podría ser muy clara (por
ejemplo, cuando la información contiene o está asociado con un identificador que se utiliza
para referirse o comunicarse con el titular). La información puede ser considerada como datos
personales en al menos los siguientes casos:
- Si contiene o está asociado con un identificador que se refiere a una persona natural
(por ejemplo, un número de seguridad social);
- Si contiene o está asociado con un identificador que puede estar relacionada con una
persona natural (por ejemplo, un número de pasaporte, un número de cuenta);
- Si contiene o está asociado con un identificador que se puede utilizar para establecer
una comunicación con una persona natural identificada (por ejemplo, una ubicación
geográfica precisa, un número de teléfono); o
- Si contiene una referencia que vincula los datos a cualquiera de los identificadores
anteriores.
La información no necesariamente debe estar asociada con un identificador para poder ser
considerada PII. La información también se considerará PII si contiene o está asociada a una
característica que distingue a una persona natural de otras personas (por ejemplo, datos
biométricos).
Cualquier atributo que asuma un valor que identifique de forma única un titular de PII debe
considerarse como una característica distintiva. Tenga en cuenta que si una característica
determinada que distingue o no una persona natural, de otras personas, puede cambiar
dependiendo del contexto de uso. Por ejemplo, si bien el apellido de una persona natural
puede ser insuficiente para identificarla a escala global, con frecuencia será suficiente para
distinguir a una persona natural en una escala de empresa.
Además, también puede haber situaciones en las que una persona es identificable incluso si
no hay un solo atributo que la identifique de manera única. Este es el caso donde una
combinación de varios atributos considerados en conjunto distingue a esta persona natural de
otras personas. Si una persona natural es o no identificable sobre la base de una combinación
de atributos puede ser dependiente del dominio específico utilizado. Por ejemplo, la
combinación de los atributos "mujer", "45" y "abogado" pueden ser suficientes para identificar
a una persona natural dentro de una empresa en particular, pero a menudo será insuficiente
para identificar a esa persona fuera de esa empresa.
La Tabla 2 proporciona algunos ejemplos de atributos que podrían ser considerados PII,
dependiendo del dominio utilizado. Estos ejemplos son informativos.
Tabla 2 - Ejemplo de atributos que pueden ser utilizados para identificar personas naturales
EJEMPLOS
Una vez establecida la relación con una persona natural identificable, es necesario decidir si la
información dice algo sobre esta persona natural, por ejemplo si se refiere a sus
características o comportamiento. Los ejemplos incluyen registros médicos, perfiles
financieros o los intereses personales derivados del seguimiento del uso de sitios web.
Además, las declaraciones de atributos simples sobre una persona natural como la edad o el
género pueden calificar la información vinculada como PII.
Independientemente si la relación con una persona natural identificable puede ser
establecida, dicha información debe ser tratada como Datos Personales.
Con el fin de restringir la capacidad de los procesadores y responsables del tratamiento de PII
para identificar a los titulares de PII, la información de identidad puede ser reemplazada por
un alias. Esta sustitución se realiza generalmente por un proveedor de PII antes de transmitir
los datos personales a un receptor de PII, en particular en los escenarios a, b, c, g y h de la
Tabla 1.
Ciertos procesos de negocio se basan en operaciones que realizan la sustitución y controlan la
tabla o la función de asignación. Esto es a menudo el caso donde los datos sensibles son
procesados por las partes interesadas de privacidad que no los recolectaron.
La sustitución se considera seudónimos siempre que:
a) el resto de atributos relacionados con los alias no son suficientes para identificar a la
persona natural a los que se refieren; y
b) la asignación de alias es tal que no puede ser revertida mediante esfuerzos razonables
de las partes interesadas de privacidad, distintos de los que la realizaron.
4.4.5 Metadatos
Los PII se pueden almacenar en un sistema de tal manera que no sea fácilmente visible para el
usuario de dicho sistema (es decir, para el titular de PII). Los ejemplos incluyen el nombre del
titular de los PII, almacenado como metadatos, en las propiedades de un documento y los
comentarios o los cambios registrados que se almacenan como metadatos en un documento
16 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
Datos Personales que no fueron solicitados por un responsable del tratamiento o procesador
de PII (es decir, sin intención) puede ser almacenada en un sistema de TIC. Un titular podría
ceder esta información (por ejemplo, datos personales adicionales proporcionados en el
contexto de un formulario de comentarios anónimos en un sitio web). El riesgo de recolectar
datos personales no solicitados puede reducirse teniendo en cuenta las medidas de
salvaguarda de la privacidad en el momento de la concepción del sistema (también conocido
como el concepto de "intimidad mediante el diseño").
La sensibilidad se extiende a todos los PII de los que se pueden derivar los PII sensibles. Por
ejemplo, las prescripciones médicas pueden revelar información detallada sobre la salud del
titular de PII. Incluso si los PII no contienen información directa sobre la orientación sexual o la
salud del titular, si podría utilizarse para inferir dicha información, estos datos personales
podrían ser sensibles. Para los propósitos de esta norma, los PII debe ser tratados como PII
sensibles cuando tal inferencia y conocimiento de la identidad del titular sea razonablemente
posible.
Las organizaciones están motivadas a proteger sus PII por una variedad de razones: para
proteger la privacidad de los titulares de los datos personales, para cumplir con los requisitos
normativos y legales, para la práctica de la responsabilidad corporativa, aumentar la confianza
del consumidor, etc. El objetivo de esta cláusula es proporcionar una visión general de los
diferentes factores que pueden influir en la protección de los requisitos de privacidad, que son
relevantes para una determinada organización o interesados del procesamiento de PII.
17 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
El diseño de cualquier sistema TIC que implique el procesamiento de PII debería estar
precedido por una identificación de los requerimientos de protección de la privacidad. Las
implicaciones de privacidad de los sistemas nuevos o modificados sustancialmente que
involucran el procesamiento de PII deben ser resueltos antes de implementar esos sistemas
TIC.
La gestión del riesgo se define como "actividades coordinadas para dirigir y controlar una
organización respecto al riesgo" (Guía ISO 73:2009). El proceso de administración de riesgos
de privacidad comprende los siguientes procesos:
Los requisitos para la protección de la privacidad son identificados como parte del proceso de
gestión de riesgo para la privacidad, y se encuentra influenciada por los siguientes factores (tal
como se representa en la Figura 1 y se describe a continuación):
Los requisitos para la protección de la privacidad se reflejan a menudo en (1) las leyes
internacionales, nacionales y locales, (2) las normas, (3) las decisiones judiciales o (4) negociado
acuerdos con los comités de la empresa u otras organizaciones laborales. Algunos ejemplos
de la legislación local y nacional, son las leyes de protección de datos, las leyes de protección al
consumidor, incumplimiento las leyes de notificación, las leyes de retención de datos, y las
leyes de empleo.
En principio, cualquier Parte que tenga acceso a los PII deben ser conscientes de sus
obligaciones por parte de los respectivos responsable(s) del tratamiento de una manera
formalizada, por ejemplo, concertando acuerdos con terceros. Estos acuerdos suelen
contener una serie de requisitos de protección de privacidad. En algunas jurisdicciones, las
autoridades nacionales y regionales podrían haber establecido los instrumentos jurídicos y
contractuales que permiten la transferencia de PII a terceros.
Los requisitos de protección de la privacidad también pueden estar influidos por factores del
negocio que incluyen las características específicas de una aplicación prevista o su contexto de
uso. Los factores de negocio pueden variar ampliamente dependiendo del tipo de interesado
en la privacidad y el tipo de negocio. Por ejemplo, pueden relacionarse con el sector en el que
una organización está activa (por ejemplo, directrices de la industria, códigos de conducta,
mejores prácticas, normas) o la naturaleza de su modelo de negocio (por ejemplo, servicios en
línea 24 horas al día, 7 días a la semana, Aplicación bancaria).
El factor más importante a considerar por las organizaciones al identificar los requisitos de
protección de la privacidad se refiere a las preferencias de privacidad de los titulares de PII. La
disposición de una persona natural hacia la privacidad y qué riesgos considera una persona
natural puede depender de varios factores que incluyen la comprensión de la persona sobre
20 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
Ejemplos de las preferencias de privacidad podría incluir una preferencia por el anonimato o
seudónimos, la capacidad para restringir quién puede acceder a determinados PII, o la
posibilidad de restringir el propósito para el cual el PII será procesado. En la medida de lo
posible, el titular de PII debería poseer una selección de preferencias para el tratamiento de
sus datos, por ejemplo si los PII son utilizados para propósitos secundarios tales como la
comercialización. La capacidad de expresar las preferencias de privacidad puede
implementarse a través de la interfaz gráfica de usuario del sistema TIC. Con ello se puede
ayudar al titular de PII en la toma de una decisión mediante la presentación de un conjunto de
opciones predefinidas para preferencias de privacidad comunes utilizando un lenguaje
fácilmente comprensible. La implementación de la interfaz de usuario puede basarse en
elementos como casillas de verificación o menús desplegables.
Además de los factores enumerados en la cláusula anterior, hay otros factores que pueden
influir en el diseño de los sistemas de TIC y los requisitos de protección de privacidad. Por
ejemplo, los requisitos de protección de privacidad podrían ser influenciados por los sistemas
de control interno o normas técnicas que haya adoptado una organización (por ejemplo, un
estándar voluntario, como una norma ISO).
(por ejemplo, control de acceso, notificación, auditorías, etc.) deben estar claramente
documentados.
Las organizaciones deben identificar e implementar controles de privacidad para cumplir con
la privacidad, salvaguardar los requisitos señalados por la evaluación de riesgo de privacidad y
el proceso de tratamiento. Además, los controles de privacidad identificados y aplicados
deben ser documentados como parte de la evaluación del riesgo de privacidad de la
organización. Ciertos tipos de procesamiento de PII pueden justificar controles específicos
para los cuales la necesidad sólo se hace evidente una vez que la operación ha sido
cuidadosamente analizada. Una evaluación de riesgos de privacidad puede ayudar a las
organizaciones a identificar los riesgos específicos de las infracciones de privacidad
involucrados en una operación prevista.
El esfuerzo debe ser tomado por las organizaciones para desarrollar sus controles de
privacidad como parte del enfoque general denominado "privacidad desde el diseño", es
decir, el cumplimiento de la privacidad debe ser considerado en la fase de diseño de los
sistemas de procesamiento de PII, en lugar de estar realizando modificaciones en una etapa
posterior.
Los principios de privacidad descritos en esta norma se derivan de los principios existentes
desarrollados por una serie de estados, países y organizaciones internacionales. Este marco se
centra en la aplicación de los principios de privacidad en los sistemas de TIC y el desarrollo de
sistemas de gestión de la privacidad a implementarse dentro de los sistemas de TIC de la
organización. Estos principios de privacidad deben ser utilizados como una guía para el
diseño, desarrollo e implementación de políticas y controles de privacidad. Además, pueden
utilizarse como un punto de referencia en el seguimiento y la medición del desempeño,
evaluación y auditoría de aspectos de la gestión de privacidad en una organización.
A pesar de las diferencias en los factores sociales, culturales, legales y económicos que
pueden limitar la aplicación de estos principios en algunos contextos, se recomienda la
aplicación de todos los principios definidos en esta norma internacional. Las excepciones a
estos principios deben ser limitadas.
1. Consentimiento y elección
2. La legitimidad del propósito y especificación
3. Límites a la recolección
4. Minimización de datos
5. Límites al uso, retención y divulgación
6. Exactitud y calidad
7. Apertura, transparencia y notificación
8. Participación y acceso individual
9. Responsabilidades
10. Seguridad de la Información
11. Cumplimiento de la Privacidad
Deben tomarse disposiciones oportunas para proporcionar a los titulares de PII de elegir
cómo se maneja sus PII y permitir al titular retirar su consentimiento de forma fácil y gratuita.
Esta solicitud debe ser tratada en conformidad con la política de privacidad. Incluso si el
consentimiento es retirado, el responsable del tratamiento de PII podría necesitar retener
ciertos PII durante un periodo de tiempo, con el fin de cumplir con las obligaciones legales o
contractuales (por ejemplo, la retención de datos, rendición de cuentas, etc.). Donde el PII la
transformación no se basa en el consentimiento sino en otro fundamento jurídico, el PII
principal debería ser notificado cuando sea posible. Cuando el titular de PII tiene la capacidad
de retirar su consentimiento y se ha optado por hacerlo, esta información debe quedar exenta
de procesamiento para cualquier finalidad que no sea legalmente obligatoria.
Para un responsable del tratamiento de PII, cumplir con el principio de elección significa:
- Proporcionar a los titulares de PII con mecanismos claros, prominentes, fácilmente
comprensible, accesible y asequible para ejercer mecanismos de elección y dar el
consentimiento en relación con el procesamiento de sus PII en el momento de la
recolección, la primera utilización o tan pronto como sea posible después de éste; y
- la aplicación de las preferencias del titular de PII como se expresa en su
consentimiento.
Por otra parte, las disposiciones adicionales pueden ser definidas para el procesamiento de PII
distinto al consentimiento (por ejemplo, la ejecución de un contrato, el interés vital del
principal PII, o el cumplimiento de la ley).
La ley aplicable en algunos casos se establece que el consentimiento del titular de PII no
constituye una base jurídica suficiente para procesar sus datos personales (por ejemplo, el
consentimiento de un menor dado sin la aprobación del o tutor la aprobación). Por otra parte,
los requisitos adicionales sobre la transferencia de datos personales internacionalmente,
deben ser considerados.
Es la responsabilidad del responsable del tratamiento de PII cumplir con estas disposiciones
adicionales antes de procesar o transferir datos.
Con relación a los datos personales sensibles, se pueden aplicar normas más restrictivas a la
finalidad del tratamiento. Un objetivo puede requerir una base legal o una autorización
24 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
específica por una autoridad de protección de datos o una autoridad gubernamental. Si el/los
propósito(s) para el procesamiento de PII no se ajusta a la ley aplicable, el procesamiento no
debería tener lugar.
Un responsable del tratamiento de PII podría desear recoger PII adicional para fines distintos a
la prestación de un servicio particular solicitada por el titular (por ejemplo, para fines de
marketing directo). Dependiendo de la jurisdicción, dicha información adicional sólo puede ser
recogida con el consentimiento del titular de PII. También es posible que la recolección de
cierta información sea obligatoria por ley aplicable.
Siempre que sea posible, el titular de datos personales debe tener la capacidad de elegir si
desea o no proporcionar dicha información. El titular debe estar claramente informado del
hecho de que su respuesta a estas solicitudes de información adicional puede ser opcional.
Mientras que la "limitación a la recolección " se refiere a los límites de datos que se recogen en
relación con los fines especificados, "minimización de los datos" estrictamente minimiza el
procesamiento de los datos personales.
- Garantizar que los PII procesados son precisos, completos, actualizados (a menos que
haya una base legítima para mantener los datos obsoletos), adecuados y pertinentes a los
efectos de su uso;
- Garantizar la fiabilidad de los datos personales recopilados a partir de una fuente distinta
del titular, antes de ser procesado;
- Verificación, a través de los medios adecuados, la validez y exactitud de las afirmaciones
hechas por el titular de PII antes de hacer cualquier cambio en los datos personales (con
el fin de garantizar que los cambios sean debidamente autorizados), donde sea apropiado
hacerlo;
- El establecimiento de procedimientos de recopilación de PII para ayudar a asegurar la
exactitud y calidad; y
- El establecimiento de mecanismos de control para verificar periódicamente la exactitud y
calidad de los PII recogidos y almacenados.
Este principio es particularmente importante en los casos en que los datos podrían ser
utilizados para conceder o denegar un beneficio significativo para el titular, o en el que los
datos inexactos de podrían resultar en un daño significativo a la persona natural.
- Proporcionar a los titulares de PII información clara y fácilmente accesible sobre las
políticas, procedimientos y prácticas del responsable del tratamiento de PII, respecto al
tratamiento de sus datos personales;
- Incluir en los avisos (Políticas externas) el hecho de que los PII se están procesando, el
propósito para el cual se hace esto, las partes interesadas de privacidad para los cuales se
pueden comunicar los PII, y la identidad del responsable de PII incluyendo información
sobre cómo ponerse en contacto con el responsable del tratamiento de PII;
- Divulgar las opciones y medios que ofrece el responsable del tratamiento de los PII a los
titulares para los efectos de limitar el procesamiento, para acceder, corregir y eliminar sus
datos personales; y
- Notificar los titulares de PII cuando se produzcan cambios importantes en los
procedimientos de manipulación de los datos personales.
- Dar a los titulares de PII la capacidad de acceder y revisar sus datos personales, siempre
que su identidad sea validado con un nivel adecuado de seguridad y tal acceso no esté
prohibido por alguna ley aplicable;
- Permitir que los titulares de PII cuestionar la exactitud e integridad de sus datos
personales y permitir su modificación, corrección o eliminación según proceda y sea
posible en el contexto específico;
- Proporcionar cualquier modificación, corrección o eliminación de los procesadores PII y los
terceros a quienes los PII hayan sido divulgados y
- El establecimiento de procedimientos para habilitar a los titulares ejercer estos derechos
de manera sencilla, rápida y eficiente, que no implique demora o gastos excesivos.
27 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)
El responsable del tratamiento de PII debe aplicar controles adecuados para garantizar que los
titulares de PII solo tengan acceso estrictamente a sus propios datos y no los datos de otros
titulares, a menos que la persona natural que accede esté actuando bajo la autoridad o en
nombre de un titular de PII que sea incapaz de ejercer su derecho de acceso. La ley aplicable
puede proporcionar a la persona natural derecho a acceder, revisar y oponerse al tratamiento
de sus datos personales bajo ciertas circunstancias. Cuando un problema no se resuelve a
favor de una persona natural, la circunstancia del problema sin resolver debe ser registrada
por la organización. Cuando sea el caso, la existencia del problema sin resolver debe
transmitirse a los procesadores de PII y otros terceros que tengan acceso a la información en
cuestión.
5.10 Responsabilidades
- Documentar y comunicar, según sea el caso, todas las políticas, procedimientos y prácticas
relacionadas con la privacidad;
- Asignar a un determinado individuo dentro de la organización (que a su vez puede delegar
en otros miembros de la organización, según sea el caso) la tarea de aplicar las políticas,
los procedimientos y practicas relacionados con la privacidad;
- Cuando se transfiera datos personales a terceros, garantizar que el receptor estará
vinculado en proporcionar un nivel equivalente de protección de la privacidad a través de
medios contractuales o de otro tipo, tales como las políticas internas obligatorias (ley
aplicable puede contener requisitos adicionales respecto a las transferencias
internacionales de datos);
- Proporcionar una formación adecuada para el personal de la empresa que tendrán acceso
a los datos personales;
- El establecimiento de procedimientos de manipulación y de quejas eficientes para ser
usados por los titulares de PII;
- Informar a los titulares sobre violaciones a la privacidad que pueden conducir a un daño
sustancial a ellos (a menos que esté prohibido, por ejemplo, mientras se trabaja con la
policía), así como las medidas adoptadas para su resolución;
- Notificar a todas las partes interesadas de privacidad relevantes sobre violaciones a la
privacidad, como se requiere en algunas jurisdicciones (Por ejemplo, las autoridades de
protección de datos) y en función del nivel de riesgo;
- Permitiendo a un titular agraviado el acceso a las sanciones adecuadas y eficaces y/o
recursos, tales como rectificación, cancelación o restitución, si se ha producido una
violación de la privacidad; y
- Considerar procedimientos de indemnización por situaciones donde será difícil o
imposible restaurar el estado de privacidad de la persona natural o a una posición como si
nada hubiera ocurrido.
Las medidas para remediar una violación de la privacidad deben ser proporcionales a los
riesgos asociados con el incumplimiento, estos deben aplicarse tan pronto como sea posible
(a menos que esté prohibido, por ejemplo, la interferencia con una investigación legal).
una forma de reparación que implica proporcionar una compensación a los agraviados
(titulares de PII). Esto es importante no sólo en la situación de robo de identidad, daños a la
reputación o el mal uso de datos personales, sino también donde se han cometido errores en
la modificación o de los datos personales.
Cuando los procesos de reparación están definidos, los titulares de PII podrían sentirse más
seguros de una operación, esto debido a que el riesgo percibido por la persona natural en
relación con el resultado se reduce de manera efectiva. Algunos servicios de reparación son
más fáciles de (por ejemplo, pérdida financiera) que otros (por ejemplo, una identidad robada,
el daño a la imagen o la reputación de la persona natural), donde la capacidad de cuantificar y
compensar la pérdida podría ser algo más difícil. La reparación funciona mejor cuando se basa
en la transparencia y la honestidad. Los tipos reparación requerido pueden regirse por la ley.
La ley aplicable puede disponer que una o más autoridades de supervisión sean responsables
de vigilar el cumplimiento de la ley de protección de datos. En esos casos, la adhesión al
principio de cumplimiento de privacidad también significa cooperar con estas autoridades de
supervisión, implementando sus directrices y peticiones.
Anexo A
(Informativo)
A fin de hacer más fácil el uso de la familia de normas ISO/IEC 27000 en el contexto específico
de la privacidad y para la integración de los conceptos de privacidad en el 27000, se presenta
en la siguiente tabla las relaciones entre sus principales conceptos:
Tabla A.1 - Coincidencia de la norma ISO/IEC 29100 conceptos con la norma ISO/IEC 27000 conceptos
ISO / IEC 29100 conceptos La correspondencia con ISO / IEC 27000 conceptos
Grupos de interés de Privacidad Grupos de interés
PII Activo de información
violación de la privacidad Incidente de seguridad de la información
Control de privacidad Control
riesgo para la privacidad Riesgo
la gestión de riesgos de privacidad Gestión de riesgos
requisitos de salvaguardia de privacidad Los objetivos de control
Bibliografía