Normas privacidad para seguridad información

Publicada el 22/03/2019

Durante la última década, ha habido un desarrollo significativo de estándares de privacidad, que tienen como objetivo contribuir a la integración de los requisitos de privacidad en los procesos de información, sistemas y servicios.Dicha integración es fundamental para proteger la información de identificación personal, especialmente en entornos digitales y puede respaldar la implementación de la legislación relevante sobre privacidad y protección de datos.

Un estudio de ENISA explora cómo el mundo de desarrollo de estándares ha estado respondiendo al mundo de la privacidad que cambia rápidamente y es exigente. Este estudio proporciona información sobre el estado de la técnica de los estándares de privacidad en el contexto de la seguridad de la información mediante el mapeo de los estándares existentes disponibles y las iniciativas de estandarización por igual.

Los principales hallazgos de este estudio incluyen los siguientes:

•  Existe una creciente necesidad de analizar el mapeo de las normas internacionales y los requisitos normativos europeos, ya que las referencias a las normas en la legislación de la UE se están volviendo recurrentes y existen diferencias considerables con respecto a las jurisdicciones fuera de la UE;
• El cumplimiento de los estándares de privacidad en la seguridad de la información no es tan sencillo como se esperaba. Algunos enfoques para la evaluación de la conformidad están disponibles en sectores específicos, otros aún carecen de mecanismos apropiados;
• Un análisis coherente de las necesidades específicas del sector para la estandarización de la privacidad es esencial, especialmente en el contexto de la seguridad de la información, antes de seguir adelante con la adopción o el desarrollo de nuevos estándares;
• La estandarización se centra principalmente en cubrir los enfoques y soluciones tecnológicas. Muchas de estas soluciones abordan la introducción de tecnologías que preservan la privacidad a lo largo de todo el ciclo de vida de un producto o sistema. El concepto de privacidad por diseño y su implementación aún no se presentan claramente, a pesar de un acuerdo general común sobre los beneficios percibidos.

ENISA complementa esta información con una serie de recomendaciones adicionales, cuyo objetivo es apoyar la priorización de áreas de acción potenciales para el futuro cercano:

• Los responsables políticos de la UE y las organizaciones europeas de normalización deberían promover el desarrollo de contenidos y aportes europeos a las normas de privacidad y ciberseguridad;
• Los responsables políticos de la UE y los miembros del Grupo Europeo de Certificación de Seguridad Cibernética deben promover el respaldo y la adopción de las normas de privacidad y seguridad de la información, incluidas las normas de evaluación de la conformidad específicas de la privacidad;
• Los organismos de la UE y las autoridades competentes de los Estados miembros deberían promover la adopción de un enfoque estructurado en el análisis de las necesidades específicas del sector en lo que respecta a la estandarización de la privacidad, especialmente en el contexto de la seguridad de la información, y luego proceder a la adopción o desarrollo de nuevas normas;
• Los responsables políticos de la UE y los organismos pertinentes de la UE deben participar más en el proceso de normalización, a fin de definir, respaldar o afirmar los posibles objetivos de normalización en las áreas de privacidad y seguridad de la información;
• Los organismos competentes a nivel de la UE y de los Estados miembros deberían seguir promoviendo sus actividades de investigación y normalización para respaldar la aplicación significativa del principio de "Privacidad mediante el diseño".