Vintegris, en su política de mejora continua y con el objeto de garantizar en la prestación de sus servicios la mayor calidad y seguridad de la información tratada, ha obtenido mediante AENOR la certificación en la ISO 27701. Esta norma es una extensión de las normas ISO 27001 y 27002, en técnicas de seguridad para la gestión de la protección de la privacidad.
¿Qué requiere la ISO 27701?
La certificación en la ISO 27701 requiere que la entidad esté certificada en la ISO 27001, un estándar en gestión de la seguridad de la información que junto con la ISO 27002 supone la existencia previa en la organización de un sistema de gestión de la seguridad de la información basado en la gestión de riesgos y en la mejora continua del sistema.
La ISO 27701 extiende los requisitos de la ISO 27001, teniendo en cuenta la protección de los datos de carácter personal y estableciendo requisitos para la organización, tanto en su papel de responsable del tratamiento de esta información (controller) como en su rol de encargado del tratamiento (processors).
¿Qué supone la implantación y obtención de la certificación en la ISO 27701?
Partiendo de la existencia previa de un sistema de gestión de la seguridad (ISO 27001-ISO 27002), la organización debe hacer una revisión de sus normativas, procedimientos y medidas de seguridad existentes, incorporando en ellas el concepto o dimensión de la privacidad, garantizando la adopción de las medidas necesarias que garanticen el mantenimiento de esta en el tratamiento de la información, de manera que se consideren los riesgos no sólo desde el punto de vista de la seguridad, sino también de la privacidad en el tratamiento de la información manejada por la organización. 
En Vintegris, el sistema de gestión de la seguridad de la información pasa a ser el sistema integrado de la gestión de la seguridad y la privacidad en la organización.
La certificación en la ISO 27701 no sólo ha supuesto para Víntegris una revisión de los requisitos establecidos en la ISO 27001-27002 para incorporar la dimensión de la privacidad, sino que ha conllevado el cumplimiento de requisitos adicionales como responsable del tratamiento de la información (controllers), garantizando el cumplimiento de las medias exigidas por la norma en la recogida y tratamiento de los datos contemplando aspectos como:
- La definición de la finalidad de los tratamientos realizados
- La base legal del tratamiento
- Los requisitos para la obtención del consentimiento
- El análisis de impacto en la privacidad que implica el tratamiento de la información
- La regulación contractual de la relación con los encargados del tratamiento (processors)
- El procedimiento para la atención de los derechos
- El cumplimiento de principios como la “privacidad desde el diseño y por defecto”,
- La calidad de los datos, garantizando su actualización y limitación en el tratamiento realizado
- El borrado de los datos cuando finaliza su tratamiento
- Los requisitos para las transferencias internacionales de datos, etc.
Igualmente, la certificación en esta norma supone garantizar el cumplimiento de los requisitos establecidos para la correcta actuación como encargado del tratamiento (processors) cuando la prestación de nuestros servicios a los clientes conlleva nuestra actuación como encargados del tratamiento.
La obtención de esta certificación en la ISO 27701 se suma a las certificaciones previas en ISO 27001 y en el Esquema Nacional de Seguridad en categoría ALTA en nuestro objetivo de prestar a nuestros clientes nuestros servicios con las mayores garantías en seguridad y privacidad de la información, cumpliendo estándares reconocidos en estas materias que son certificados de manera independiente.
Para Vintegris, además, es una garantía del cumplimiento de la normativa vigente en materia de protección de datos al estar alineados los requisitos exigidos por la ISO 27701 con los requisitos establecidos en el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679).