ISO/IEC 29100:2011 Privacy Framework

Presentación

El estándar ISO/IEC 29100:2011 fue publicado el 20111205, y está en trámite su posible difusión sin coste.

Es resultado de los trabajos del Grupo de Trabajo (WG) 5 del SC27, del que DIN lleva la Secretaría.

Abstract

El "abstract" del mismo reza (mi traducción de la página de ISO, espero que bajo las premisas de uso didáctico no viole derechos de PI):

ISO/IEC 29100:2011 provee un marco para la privacidad que
. especifica una terminología de privacidad para uso común1
. define actores y roles en el procesamiento de información que puede ser usada para identificar personas2
. describe consideraciones sobre la protección3 de privacidad
. provee referencias para las TIC sobre principios de privacidad difundidos4

ISO/IEC 29100:2011 es aplicable a personas físicas y a organizaciones involucradas en la especificación, adquisición, diseño arquitectónico y detallado, desarrollo, pruebas, mantenimiento, administración y administración de sistemas TIC y servicios donde se requieran salvaguardas de la privacidad para el tratamiento de PII.

Comentarios Personales

Desde mi punto de vista, es un marco interesante, si bien, como todo estándar desarrollado por consento entre las partes (el método de creación de estándares se explica aquí en detalle), puede contener partes mejorables.

El 29100 adolece de las limitaciones de su cuna de nacimiento (ISO trasladó todos los aspectos de DCP5 al JTC1 (Information Technology), y este al SC 27 (IT Security Tecniques), ambos muy escorados hacia la T6 y menos hacia la I7 - es sorprendente que el estándar insignia del SC27, ISO/IEC 27001 se titule "Information security management systems — Requirements" y no "IT Security Management Systems" …; Por ello, 29100 bascula intensamente hacia los aspectos TIC y en ocasiones no cubre aspectos I.

Tambien hay que recordar que es un estándar de aplicación internacional, donde las sensibilidades entre los involucrados en cuanto a tratamiento de DCP son diametralmente disimilares …

Aunque llena un hueco compilando conceptos y terminología, un poco nos descubre la pólvora.

Muy lejos del "Bleeding Edge", y a cierta distancial del "State of the Art":

  • sí supera los principios más rancios e incorpora parcialmente las tendencias que yo llamo actitud excelente (buenas dosis de sentido común y conocimientos de la materia): "pensar antes de hacer", "sostenibilidad en la operación" y "lean risk": comenzar definiendo los objetivos, el proceso de tratamiento, evaluar riesgos, definir salvaguardas, minimizar la recolección y tratamiento de DCP, respondidad8, mejora continua.
  • Coquetea con el principio de "privacy by design", que no remata
  • No entra en "privacy by defect"
  • No aborda los aspectos de sostenibilidad, en la vertiende de DCP. Me explico. En el tratamiento de DCP caben, siempre dentro de los límites de la legalidad, actitudes diferentes. Por ejemplo, ofrecer opciones por defecto consintiendo tratamientos y cesiones "anejas" frente a opción negativa por defecto. O proposiciones de tratamiento que sin vulnerar los derechos rayan con el abuso. O intercambio de DCPs como moneda de pago de servicios o "regalos". Aquí es donde, igual que la organización debe tener unos claros valores de comportamiento y principios de sostenibilidad en cuanto a relaciones con los trabajadores y medio ambiente, debe tenerlos en relación a sus clientes/usuarios y en concreto al tratamiento de sus DCP. Ojo, no es que quiera que el estandar refleje mis valores -en general, transparencia y libertad de acuerdo equilibrado entre las partes- pero el estándar no ofrece quía, más allá de la creación de una directiva9, para la creación de mecanismos para definir, implementar y mantener estos valores en lo referido a DCP.

En conclusión, un marco interesante pero corto.

Carlos Bachmaier


Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 25 Oct 2013 14:44


Mis actividades y novedades: visita mi blog

Si no se indica lo contrario, el contenido de esta página se ofrece bajo Creative Commons Attribution-ShareAlike 3.0 License