Diseño de un sistema de gestión de protección de datos personales basado en la norma ISO/IEC 27701:2019

Abstract

La presente tesis consiste en la investigación y aplicación de las regulaciones y estándares relacionados a la protección de datos personales para una institución cuyo principal servicio consiste en la provisión de evaluaciones de competencias profesionales y académicas. En la introducción de la tesis, se muestra que existe un imperativo para las organizaciones de cumplir con las regulaciones establecidas para la protección de datos personales, así como también de cumplir con los requerimientos de los titulares de los datos personales procesados por las entidades. El proyecto consta de cinco objetivos, los cuales abarcan el diseño de procesos, políticas y marcos para cumplir con las cláusulas necesarias para un sistema de gestión de seguridad de la información, según el estándar ISO 27001:2013, incluyendo las respectivas extensiones que presenta el estándar ISO 27701:2019 para incluir la gestión de protección de datos personales. Esto implica el diseño de componentes que detallan el contexto de la organización en relación a la protección de datos personales, la gestión de riesgos de protección de datos personales, y componentes de soporte para el sistema de gestión, tales como la matriz de comunicaciones y el estándar de gestión documental. También se desarrollaron marcos para la implementación del sistema de gestión, así como para la medición, monitoreo y mejora continua de este. A lo largo del trabajo, se muestra como los diferentes componentes del sistema de gestión interactúan entre sí para generar una mayor eficiencia en el manejo de la protección de datos personales en una organización. Del mismo modo, se muestra como el estándar ISO 27005:2018 de gestión de riesgos de seguridad de la información puede ser adaptado y tomado como marco para la gestión de riesgos en un sistema de gestión de protección de datos personales.