Protección de la
información con
la norma BS 10012
La empresas deben tener conciencia de la necesidad de gestionar la información de una forma adecuada. y explican cómo puede ayudar la norma BS10012
En los últimos años, las empresas han debido enfrentar un desafío importante referente al manejo de la información. Ya está aceptada la idea de que el manejo de la información, especialmente la información de carácter personal, representa un valor o capital para las organizaciones. Sin embargo, puede transformarse en una gran responsabilidad y, para parafrasear a Richard Tomas, el previo comisionado de la información del Reino Unido – una responsabilidad tóxica, si se la maneja de una forma incorrecta.
Mientras que se realizan grandes avances en nuevas tecnologías que facilitan a las organizaciones en la recolección de una gran cantidad de datos personales y en la provisión, así, de mejores servicios a sus clientes, los mismos avances crean cierto grado de preocupación referente a la privacidad individual (especialmente referente a la proporcionalidad y a la retención) y las organizaciones enfrentan cada vez más desafíos, los que pueden ser enfrentados con una control de la información eficaz.
En el Reino Unido, hay un requisito legal (Data Protection Act 1998) que protege a las organizaciones. Es así como el BSI comienza la publicación de lineamientos prácticos para implementar el Acta. En el 1998, el BSI formó un grupo con expertos de los negocios, del sector público y del gobierno, quienes identificaron la necesidad de contar con lineamientos prácticos para la gestión de la información personal. Esto llevó a la publicación y desarrollo continuo de la BIP 0012, una guía de cómo aplicar el Data Protection Act del Reino Unido.
En 2007, este grupo de expertos identificó la necesidad de contar con un documento más formal que definiera requisitos para un sistema de gestión de la información que pudiera ser fácilmente adoptado por las organizaciones. Como resultado de esta propuesta se publica la norma BS 10012 (Gestión de la información. Especificación para un sistema de gestión de información personal).
Norma BS 10012
El objetivo de la BS 10012 es proporcionar una base común y confianza en la gestión de la información personal. Permite a las organizaciones demostrar su compromiso hacia una gestión responsable de la información permitiendo una evaluación eficaz del cumplimiento con la legislación referida a la protección de datos y con buenas prácticas, sea realizada tanto por auditores internos o externos.
Tomando una referencia que se encuentra en la Introducción a la norma, su objetivo es “permitir a las organizaciones poner en práctica, como parte de una infraestructura general de gobernanza de la información, un sistema de gestión de la información personal que proporciona un marco para mantener y mejorar el cumplimiento con la legislación y buenas prácticas de protección de la información”.
La norma BS 10012 ha sido diseñada para que pudiera ser aplicada por organizaciones de todo tamaño y sector, y se prevé que será usada por aquéllos responsables por la puesta en marcha, implementación y mantenimiento de la gestión de la información personal dentro de la organización. Aplica el ya conocido y probado modelo PDCA (plan. do, check, act) como base para el marco de gestión de la información personal, permitiendo un ajuste y adecuación con el marco existente de gestión de la información personal de la organización.
El sistema de gestión contenido en la norma constituye un marco que consiste en una cantidad de elementos:
- desarrollo y aprobación de una política de gestión de información personal
- asignación de responsabilidades y obligación de rendir cuentas en el sistema
- provisión de recursos necesarios para operar el sistema
- identificación de la información personal, incluyendo la información de alto riesgo, gestionada por la organización
- formación y toma de conciencia de todo el personal que maneja información personal
- evaluación de riesgos en relación a la gestión de la información personal
- notificación del procesamiento a la Oficina del Comisionado de Información
- procesamiento justo y legal.
- adecuación, relevancia, exactitud y retención,
- derechos del individuo,
- seguridad de la información personal,
- transferencias al exterior,
- uso de procesos sub-contratados
- monitoreo y mejora del sistema
Se debe hacer notar que una organización puede tener uno o múltiples sistemas de gestión de la información personal, dependiendo de su tamaño y complejidad.
Como es el caso de normas parecidas, la BS 10012 no es prescriptiva. Antes que estipular exactamente cómo realizar una actividad, proporciona un marco que permite a las organizaciones manejar eficazmente la información personal. Por ejemplo, la norma se focaliza en asegurar que la organización proporcione suficientes lineamientos y recursos, recursos humanos y una cultura positiva dentro de la cual pueda funcionar adecuadamente el procesamiento de la información.
Al elegir trabajar según los requisitos de la norma BS 10012, las organizaciones tienen a su disposición una herramienta que les permite determinar cuál es la mejor forma de cumplir con dichos requisitos. Por ejemplo, las organizaciones deberán llevar a cabo su propia evaluación de riesgos y al hacerlo, pueden elegir usar su propia metodología de evaluación de riesgos u otras herramientas, tales como las guías para la evaluación del impacto sobre la privacidad emitida por la Oficina del Comisionado de Información.
Reconociendo que la gente, las políticas y la tecnología son todas partes críticas en la solución de la gestión de la información, la nueva norma ayudará a las organizaciones a poner en práctica un marco de gestión que conducirá al cumplimento con la legislación sobre protección de la información y con las buenas prácticas existentes.
Sobre el autor
Breda Corish es jefe del departamento de desarrollo comercial, materiales y cuidado de la salud, ICT y Electronics, en el BSI. Alan Shipman es el gerente general del Group 5 Training Limited
 |  Envíenos ahora su opinión en el Foro Online |
