Relación entre la Ley 19628 y la ISO 27001

Escrito por Alexander Chapellin | May 13, 2024 6:50:44 PM

La Ley 19628 y la norma ISO 27001 representan dos pilares fundamentales en la gestión de la privacidad y la seguridad de la información. Aunque una se origina en el ámbito legal chileno y la otra en el consenso internacional sobre mejores prácticas de seguridad, ambas tienen como objetivo proteger los datos personales y garantizar la integridad de los sistemas de información. En este artículo, descubrirás qué implica la Ley 19628, su conexión y puntos en común con la norma ISO 27001, además de destacar algunas diferencias clave entre ambas.

¿Qué es la Ley 19628?: Garantizando la Privacidad de los Datos en Chile

La Ley 19628, o Ley sobre Protección de la Vida Privada, constituye un elemento fundamental de la legislación chilena en lo que respecta al manejo de datos personales. Proporciona un marco legal robusto y exhaustivo para la protección de la información personal, imponiendo a entidades tanto públicas como privadas, el cumplimiento de normativas estrictas. A continuación, exploraremos en detalle los aspectos más relevantes de esta ley:

Consentimiento informado: Esta legislación va más allá de simplemente solicitar el consentimiento; requiere que sea informado, libre y voluntario por parte de los titulares de los datos. Esto implica que las organizaciones deben brindar información clara sobre los propósitos del procesamiento de datos, así como sobre la duración y la forma en que se utilizarán los datos antes de recopilar cualquier información personal.
Derecho de acceso y rectificación: Las personas tienen el derecho de acceder a sus datos personales para verificar su exactitud y solicitar la corrección, actualización o eliminación de cualquier información incorrecta o recopilada de manera inapropiada. Esto también abarca el derecho al olvido, permitiendo la eliminación de datos personales cuando ya no son necesarios para los propósitos originales de su recopilación.
Protección de datos sensibles: Datos como los financieros, de salud o de orientación sexual se consideran especialmente sensibles y, por lo tanto, sujetos a protecciones adicionales. Errores en el manejo de estos datos pueden tener consecuencias legales graves y afectar significativamente la privacidad y bienestar del individuo.
Medidas de seguridad obligatorias: Es imperativo que las organizaciones establezcan y mantengan medidas de seguridad apropiadas, tanto físicas como digitales, para resguardar la integridad de los datos personales ante posibles accesos no autorizados, modificaciones indebidas o pérdidas accidentales. Estas medidas deben ser constantemente evaluadas y actualizadas para hacer frente a nuevas amenazas y vulnerabilidades que puedan surgir en el entorno de la información.
Tratamiento de datos por mandato: Cualquier autorización para tratar datos personales debe detallar explícitamente los usos permitidos y las medidas de seguridad a seguir. Esto garantiza que los terceros que procesen datos personales en nombre de una entidad se adhieran a las normativas de privacidad.
Confidencialidad extendida: El compromiso de salvaguardar la confidencialidad de los datos personales va más allá de la relación laboral o contractual de quienes los manejan, resaltando la relevancia de la privacidad a largo plazo.
Uso limitado: La ley restringe el uso de datos personales exclusivamente a los fines para los cuales fueron recolectados, especialmente en contextos de marketing o cuando no existe una base legítima y objetiva.
Sanciones por incumplimiento: El incumplimiento puede resultar en multas significativas y, en casos graves, en procedimientos penales contra los responsables.

Este marco legislativo no solo promueve una protección efectiva de la información personal, sino que también fortalece la confianza entre consumidores y empresas, contribuyendo a un entorno comercial más seguro y responsable.

Te podrá interesar leer: ¿Cómo Asegurar el Cumplimiento Normativo en la Nube?

¿Cómo la Ley 19628 se relaciona con la ISO 27001?

La Ley 19628 de Chile y la norma ISO 27001 internacionalmente reconocida comparten un objetivo común: garantizar la protección y el manejo seguro de los datos personales. Aunque una se centra en el marco legal específico de Chile y la otra en un estándar global de seguridad de la información, ambas pueden complementarse para fortalecer la privacidad y la seguridad de los datos dentro de una organización. Veamos más de cerca cómo se relacionan y se benefician mutuamente.

1. Cumplimiento normativo: La implementación de ISO 27001 puede ayudar a las organizaciones en Chile a cumplir con los requerimientos de la Ley 19628. Los controles y procesos establecidos por ISO 27001 pueden asegurar que se manejen adecuadamente la confidencialidad y la seguridad de los datos personales, aspectos fundamentales también requeridos por la ley chilena.

2. Gestión de riesgos: Tanto la Ley 19628 como ISO 27001 enfatizan la importancia de evaluar y gestionar los riesgos asociados con el manejo de datos. ISO 27001 proporciona las herramientas y metodologías para identificar, analizar y mitigar los riesgos de seguridad, lo que también apoya el cumplimiento de la Ley 19628 que busca minimizar los riesgos de violaciones de datos.

3. Mejores prácticas y reconocimiento internacional: La adopción de ISO 27001 no solo ayuda a las empresas chilenas a cumplir con la ley local, sino que también les permite alinearse con las mejores prácticas internacionales en seguridad de la información. Esto puede mejorar la reputación de la empresa y aumentar la confianza entre los clientes y socios comerciales, tanto local como internacionalmente.

4. Preparación para auditorías y verificaciones: La estructura y documentación requeridas por ISO 27001 pueden preparar a las organizaciones para auditorías relacionadas con la protección de datos bajo la Ley 19628. Al tener un SGSI bien documentado y en funcionamiento, las empresas pueden demostrar más fácilmente su cumplimiento con las normativas de protección de datos durante las inspecciones y auditorías.

5. Medidas de seguridad: Ambas regulaciones requieren que las empresas implementen medidas de seguridad adecuadas. Mientras que la ISO 27001 detalla controles específicos y sistemáticos para garantizar la confidencialidad, integridad y disponibilidad de la información, la Ley 19628 complementa esta exigencia al requerir que las medidas de seguridad protejan de manera específica los datos personales contra accesos no autorizados y otros riesgos.

Conoce más sobre: ¿Qué tipo de empresas necesitan ISO 27001?

Diferencias entre la Ley 19628 y la ISO 27001

La Ley 19628 y la norma ISO 27001 abordan aspectos cruciales de la seguridad y privacidad de la información, aunque desde ángulos distintos. Aquí exploraremos sus principales diferencias, lo que te ayudará a entender mejor cómo cada una impacta en la gestión de datos.

- Ámbito de Aplicación: Mientras que la Ley 19628 se aplica específicamente en Chile y se centra en proteger los datos personales y la privacidad de los individuos, la ISO 27001 tiene un alcance global, abarcando cualquier tipo de información. Esta norma es relevante para organizaciones de todo el mundo, sin importar el tipo de datos que manejen.

- Enfoque Legal vs Enfoque de Gestión: La Ley 19628 adopta un enfoque más legal y reglamentario, estableciendo requisitos legales concretos y sanciones para quienes no los cumplen. En contraste, la ISO 27001 ofrece un marco para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI). Este enfoque está más orientado hacia la mejora continua y la gestión proactiva de riesgos.

- Detalles de Implementación: La Ley 19628 proporciona principios generales y establece derechos específicos que deben protegerse, pero no entra en muchos detalles sobre cómo lograr esta protección en la práctica. Por su parte, la ISO 27001 brinda un conjunto detallado de controles y prácticas recomendadas que las organizaciones pueden personalizar según sus necesidades específicas para manejar la seguridad de su información de manera efectiva.

- Certificación: Un aspecto práctico de la ISO 27001 es que permite a las organizaciones obtener una certificación reconocida internacionalmente. Esto no solo demuestra que se cumplen las mejores prácticas en seguridad de la información, sino que también puede aumentar considerablemente la confianza entre clientes y otras partes interesadas. Por otro lado, la Ley 19628 se centra más en asegurar el cumplimiento legal y aborda las consecuencias de no hacerlo, sin ofrecer un mecanismo de certificación propio.

Estas diferencias destacan cómo cada una de estas importantes herramientas tiene su lugar y función específica en el panorama de la seguridad y la protección de la información. Ambas son fundamentales, pero su aplicación y impacto varían dependiendo del contexto legal y operativo de cada organización.

Conoce más sobre: ¿Por qué las empresas necesitan ISO 27001?

Conclusión

En conclusión, entender cómo se complementan la Ley 19628 y la ISO 27001 es crucial para las empresas que manejan información personal y corporativa. La Ley 19628 ofrece un marco legal para la protección de datos en Chile, mientras que la ISO 27001 brinda un sistema global para gestionar la seguridad de la información. Ambas normativas, al integrarse, refuerzan las políticas de seguridad y privacidad de las empresas, promoviendo el cumplimiento legal y fortaleciendo la confianza entre clientes y socios.

En TecnetOne, somos una empresa certificada en ISO 27001 y estamos preparados para ayudarte a mejorar la seguridad de tu información y a cumplir con los requisitos de protección de datos. Contáctanos para saber más sobre cómo podemos apoyarte en fortalecer tus prácticas de seguridad.

Ver post completo