ISO 27701: la nueva era de la gestión de la privacidad

La privacidad y la ciberseguridad se han convertido en dos de los grandes quebraderos de cabeza de cualquier organización que maneje datos personales. Entre RGPD, leyes locales, servicios en la nube, IA y auditores pidiendo evidencias, cada vez es más complicado demostrar que se está haciendo las cosas bien y de forma consistente año tras año.

En este contexto, la norma ISO/IEC 27701:2025 se ha consolidado como el estándar de referencia a nivel internacional para gestionar la privacidad de la información. La actualización de 2025 supone un salto importante frente a la versión de 2019: deja de ser un simple “apéndice” de ISO 27001 para transformarse en un sistema de gestión plenamente independiente, pensado para que cualquier entidad pueda certificar cómo protege los datos personales que trata.

Qué es ISO/IEC 27701 y qué papel juega en la privacidad

ISO/IEC 27701 es una Norma Internacional que define los requisitos para establecer, implantar, mantener y mejorar de forma continua un sistema de gestión de la información de privacidad, conocido como PIMS (Privacy Information Management System). Es decir, un marco estructurado que permite gobernar todo lo relativo al tratamiento de datos personales dentro de una organización.

Esta norma está pensada para responsables y encargados del tratamiento de información personal identificable (PII, equivalente a los datos personales del RGPD). Su objetivo es que estas entidades puedan demostrar, con evidencias verificables, que gestionan la privacidad de forma alineada con las leyes y con las buenas prácticas internacionales.

Además de requisitos obligatorios, ISO/IEC 27701 incluye orientaciones prácticas para ayudar a poner en marcha y operar el sistema de gestión en el día a día. De este modo, diferencia claramente entre lo que será objeto de auditoría y lo que funciona como guía para aplicar los controles de forma eficaz.

La norma es aplicable a organizaciones de cualquier tamaño y sector: empresas públicas o privadas, administraciones públicas, ONGs, proveedores de servicios cloud, startups de IA, compañías SaaS, etc. Siempre que se traten datos personales, tiene encaje.

Por qué es tan importante ISO/IEC 27701 para 2025 y más allá

Hoy en día los datos personales son uno de los activos más sensibles de cualquier organización. Ciudadanos, reguladores y socios comerciales ya no se conforman con declaraciones de buenas intenciones: quieren ver pruebas de que la privacidad se gestiona de manera seria, sistemática y verificable.

ISO/IEC 27701 aporta justamente ese marco: un sistema de gestión de privacidad reconocible a nivel global que ayuda a gestionar riesgos, definir responsabilidades y demostrar responsabilidad proactiva. Está especialmente alineado con el RGPD, lo que en países como España encaja muy bien con la LOPDGDD y, en entornos públicos, con el Esquema Nacional de Seguridad.

Entre las principales ventajas de implantar y certificar un PIMS según ISO/IEC 27701 destacan beneficios muy claros: reforzar las capacidades de protección de datos, facilitar la demostración de cumplimiento normativo, infundir confianza en clientes, colaboradores y reguladores, y crear una base sólida para integrar la privacidad en la cultura corporativa.

La actualización de 2025 llega, además, en un momento en el que la , la analítica avanzada y los servicios cloud han modificado radicalmente la forma de recopilar, procesar y compartir información. La norma se adapta a este nuevo ecosistema tecnológico y regulatorio, incorporando referencias explícitas a IA, entornos multicloud, decisiones automatizadas y tratamientos transfronterizos.

En definitiva, ISO/IEC 27701:2025 convierte la privacidad en un componente estratégico del negocio, y no solo en una obligación legal o técnica. Funciona como un sello de madurez y credibilidad frente a clientes, socios, inversores y autoridades.

De extensión de ISO 27001 a estándar autónomo

Uno de los cambios más radicales de la nueva versión es que deja de ser una mera extensión de ISO/IEC 27001. La edición 2019 obligaba a disponer primero de un Sistema de Gestión de Seguridad de la Información (SGSI) certificado bajo ISO 27001 y después añadirle la capa de privacidad de ISO 27701.

Ese esquema generaba una barrera de entrada importante para organizaciones centradas en privacidad pero que no necesitaban o no podían asumir un SGSI completo. Empresas con mucho foco en protección de datos, entidades del sector público con recursos limitados o negocios muy orientados a datos, pero ya cubiertos en seguridad por otros marcos como SOC 2, se veían forzados a pasar por ISO 27001 sí o sí.

Desde 2025, ISO/IEC 27701 se convierte en un estándar de sistema de gestión independiente, con su propia estructura de alto nivel (cláusulas 4 a 10) al estilo del resto de normas ISO. Esto significa que es posible certificar un PIMS sin necesidad de tener certificación ISO 27001 previa, aunque la compatibilidad entre ambas normas sigue siendo total.

Este cambio abre la puerta a varios escenarios muy interesantes: organizaciones que sólo quieren una certificación de privacidad, compañías SaaS que combinan SOC 2 para seguridad e ISO 27701 para privacidad, ONG o administraciones con alta carga de datos personales pero pocos recursos para desplegar un SGSI completo, o empresas que prefieren integrar privacidad y seguridad bajo dos normas que se hablan entre sí pero pueden gestionarse con distintos alcances.

En paralelo aparece ISO/IEC 27706:2025, una norma complementaria que marca las reglas del juego para las entidades de certificación que auditan PIMS, sustituyendo a la anterior ISO TS 27006-2:2021 y actualizando la infraestructura de certificación alrededor de ISO 27701.

Estructura y principios de la versión 2025

La ISO/IEC 27701:2025 adopta la estructura de alto nivel (HLS) que ya se utiliza en otras normas de sistemas de gestión como ISO 27001, ISO 9001 o ISO 37301. Esto facilita muchísimo la integración cuando una organización tiene varios sistemas certificados al mismo tiempo.

Las cláusulas principales cubren aspectos muy reconocibles para cualquiera acostumbrado a la familia ISO: desde el contexto de la organización y las partes interesadas, hasta el liderazgo, la planificación basada en riesgos, los recursos, la operación, la evaluación del desempeño y la mejora continua. Todo ello aplicado de forma específica a la gestión de la privacidad.

En detalle, la norma aborda, entre otros, los siguientes bloques: análisis del contexto y requisitos legales y contractuales en materia de datos personales; compromiso de la alta dirección, políticas de privacidad y asignación de roles; evaluación de riesgos de privacidad y fijación de objetivos; recursos y competencias; controles operativos sobre los tratamientos; auditorías, indicadores e informes a la dirección y mecanismos de mejora continua.

Un aspecto clave de la versión 2025 es que reordena y enriquece los anexos. El Anexo A conserva los controles aplicables a responsables (controllers) y encargados (processors) de PII, pero con un lenguaje más claro y referencias a entornos actuales como la nube, la IA o el tratamiento transfronterizo. El Anexo B se convierte en una guía de implementación más práctica, con recomendaciones adaptadas a distintos sectores y tamaños de organización.

La lista de referencias normativas también se simplifica. La edición 2025 toma como referencia principal ISO/IEC 29100, el marco de privacidad de ISO, y ya no depende directamente de ISO 27001 ni de ISO 27002 como sucedía antes, lo que subraya su independencia como estándar sin perder la coherencia con el ecosistema de seguridad de la información.

En entornos donde la seguridad técnica es clave, conviene complementar los controles de privacidad con medidas prácticas para proteger los activos y los puntos finales; por ejemplo, estrategias clave para proteger tus dispositivos ayudan a reducir el riesgo operativo que apoya al PIMS.

Cambios más relevantes frente a ISO/IEC 27701:2019

Más allá del salto a estándar autónomo, la ISO/IEC 27701:2025 introduce una serie de ajustes profundos en la estructura y en el detalle de sus requisitos y anexos, sin romper con lo ya existente para las organizaciones que estaban certificadas en 2019.

En primer lugar, se incorporan las cláusulas de gestión 4.1 a 10.2 alineadas con el esquema de ISO 27001: contexto de la organización, liderazgo, planificación, apoyo, operación, evaluación del desempeño y mejora. Se añaden, además, una cláusula específica sobre evaluación del desempeño (seguimiento, medición, auditoría interna y revisión por la dirección) y otra dedicada a la mejora continua del PIMS.

Los antiguos apartados que describían requisitos específicos de PIMS en relación con ISO 27001 e ISO 27002 se sustituyen por una estructura plenamente ISO, en la que la cláusula 4 trata el contexto, la 5 el liderazgo, la 6 la planificación, la 7 el apoyo, la 8 la operación, la 9 el desempeño y la 10 la mejora. Se incluye incluso una cláusula adicional que ofrece información para entender mejor los anexos C, D, E y F, donde se amplía la guía sobre controles y mapeos.

Los anexos de privacidad se renombran y reordenan, consolidando en un único Anexo A los controles para responsables y encargados de PII (antes separados en tablas diferentes). Aunque la organización cambia, los requisitos de privacidad se mantienen prácticamente intactos, lo que facilita la vida a quienes ya tenían un PIMS certificado.

La gran novedad se encuentra en un conjunto de 29 nuevos controles de seguridad de la información integrados en la Tabla A.3, que complementan los controles de privacidad con elementos de seguridad esenciales: políticas de seguridad, clasificación de la información, gestión de identidades, derechos de acceso, seguridad en acuerdos con proveedores, concienciación y formación en seguridad, gestión de incidentes, entre otros. Estos controles sustituyen a la antigua cláusula 6 de la ISO 27701:2019 y se alinean directamente con los requisitos de ISO 27001:2022.

Enfoque basado en riesgos y ciclo de vida del dato

El corazón de ISO/IEC 27701:2025 es un enfoque de gestión del riesgo de privacidad claramente definido. La norma exige identificar, analizar y evaluar los riesgos que los tratamientos de datos personales pueden generar sobre los derechos y libertades de las personas.

Este análisis se integra con la gestión de riesgos de seguridad de la información, generando una visión de dos niveles: uno organizativo (impacto para la entidad, continuidad de negocio, reputación, sanciones, etc.) y otro centrado en los interesados (afectación a las personas, discriminación, pérdida de control sobre sus datos, daños económicos o emocionales, etc.).

En función de ese análisis, se despliegan controles proporcionados, se priorizan recursos y se establecen planes de acción, tanto preventivos como de respuesta ante incidentes. Todo ello siguiendo el ciclo PDCA (Plan-Do-Check-Act) habitual en las normas ISO, lo que impulsa la mejora continua y la adaptación cuando cambian los riesgos tecnológicos o regulatorios.

La edición 2025 da un paso más al adoptar expresamente un enfoque de ciclo de vida del dato, abarcando desde la recogida de PII hasta su supresión, anonimización o seudonimización. Se asegura así que la privacidad esté integrada en todas las fases del tratamiento, en línea con principios como Privacy by Design y Privacy by Default.

En entornos donde la IA, el IoT, el blockchain o los servicios multicloud son ya el pan de cada día, la norma introduce orientaciones específicas para gestionar riesgos derivados de la toma de decisiones automatizada, la elaboración de perfiles o la combinación de grandes volúmenes de datos, incluyendo referencias cruzadas con la futura ISO/IEC 42001 sobre gobernanza de la inteligencia artificial.

Integración con otros sistemas de gestión y marcos de cumplimiento

Una de las mayores fortalezas de ISO/IEC 27701:2025 es su capacidad para encajar dentro de un ecosistema de gestión integrado. Gracias a la estructura HLS, se puede combinar con ISO/IEC 27001 (seguridad de la información), ISO 31000 (gestión del riesgo), ISO 37301 (compliance), ISO 9001 (calidad) o el futuro estándar ISO/IEC 42001 (IA), compartiendo procesos comunes como la gestión documental, las revisiones por la dirección y las auditorías internas.

Para organizaciones que ya cuentan con un SGSI maduro, la actualización facilita mantener SGSI y PIMS integrados, optimizando esfuerzos y reduciendo la duplicidad de evidencias. Quien prefiera ir por libre también puede desplegar un PIMS autónomo, especialmente interesante para entidades cuyo principal dolor de cabeza es el RGPD y otras leyes de protección de datos.

La norma se alinea muy bien con marcos regulatorios globales: en la UE, sirve como base probatoria sólida para el principio de responsabilidad proactiva del RGPD; en otros territorios, ayuda a demostrar cumplimiento frente a marcos como CCPA, LGPD u otras regulaciones de privacidad. Además, se puede complementar con reportes SOC 2, con esquemas nacionales de seguridad o con esquemas de certificación sectoriales.

En la práctica, implantar ISO/IEC 27701:2025 permite definir con claridad la gobernanza de la privacidad (quién decide qué, quién asume riesgos, qué funciones tiene el DPO, cómo se coordinan legal, seguridad, TI y negocio), introducir un marco de evaluación continua de riesgos y reforzar la transparencia con los interesados mediante políticas, avisos y mecanismos claros para el ejercicio de derechos.

Este enfoque integrador impulsa la transición hacia un modelo de Privacidad como Cultura, donde no se trata sólo de tener documentos en regla, sino de que el personal entienda su papel, reciba formación, participe en la detección de riesgos y asuma la privacidad como una parte más de la calidad del servicio.

Impacto específico para Delegados de Protección de Datos y responsables de cumplimiento

Para los Delegados de Protección de Datos (DPO) y equipos de cumplimiento, ISO/IEC 27701:2025 se convierte en una hoja de ruta muy concreta de cómo demostrar que el RGPD se aplica de forma efectiva. La norma incorpora un Anexo D que mapea controles y requisitos frente a los artículos del Reglamento, lo que facilita vincular cada obligación legal con evidencias operativas.

Por ejemplo, ante una revisión de la AEPD sobre la gestión de derechos de los interesados, los controles A.1.3.7 y A.1.3.10 permiten acreditar la existencia de procedimientos documentados para recibir, registrar, tramitar y responder a solicitudes de acceso, rectificación, supresión, oposición o portabilidad, con plazos, responsables y trazabilidad definidos.

La buena noticia es que los controles específicos para responsables del tratamiento (tabla A.1) y para encargados (tabla A.2) se mantienen prácticamente sin cambios desde 2019. Esto significa que, para organizaciones ya certificadas, la transición no exige rehacer todo el sistema, sino más bien ajustar la estructura, reforzar la parte de riesgos de privacidad y documentar mejor el programa de seguridad de la información que respalda al PIMS.

En entornos complejos donde conviven múltiples figuras (controladores conjuntos, subencargados, proveedores cloud, procesadores en terceros países), la nueva versión ayuda a afinar los contratos, las matrices de responsabilidades y los mecanismos de supervisión, reduciendo puntos ciegos y ambigüedades que a menudo dan problemas en auditoría.

En la práctica, el estándar se convierte en un aliado para pasar de “cumplo en teoría” a “tengo evidencias objetivas y auditables de que cumplo”, lo que reduce sustos ante inspecciones, reclamaciones o brechas de seguridad relevantes que obliguen a notificar a autoridades y afectados.

Transición desde ISO/IEC 27701:2019: plazos, pasos y errores habituales

Las organizaciones que ya están certificadas bajo ISO/IEC 27701:2019 disponen de un periodo de transición de tres años desde la publicación de la versión 2025, es decir, hasta octubre de 2028, para adaptar sus sistemas de gestión y completar la auditoría de transición con su entidad certificadora.

No hace falta partir de cero: el grueso del trabajo ya realizado sigue siendo válido. La clave está en reencajar el sistema en la nueva estructura, incorporar los nuevos controles de seguridad de la información, reforzar la gestión de riesgos de privacidad y revisar la documentación de gobernanza, roles y procesos operativos para que respondan a las cláusulas actualizadas.

Los pasos razonables para una transición ordenada suelen incluir un análisis de brechas comparando el PIMS actual con la versión 2025, la actualización de la Declaración de Aplicabilidad para reflejar los anexos reestructurados, la revisión de la matriz de riesgos de privacidad (incluyendo escenarios de IA, nube y flujos internacionales), la adaptación de políticas, registros y programas de auditoría interna, la formación del personal clave y la planificación de la auditoría de transición con el organismo de certificación.

Entre los errores más comunes en esta transición destacan tres: esperar a última hora confiando en que “hay tiempo de sobra”; limitarse a actualizar papeles sin comprobar que la práctica real se ha alineado (los auditores piden evidencias, no solo PDFs); y pasar por alto la relevancia de los tratamientos automatizados y de IA, que ya no son un tema marginal sino un foco específico de evaluación.

Para organizaciones que ya operan ISO 27001:2022 integrado con ISO 27701:2019, el cambio debería ser relativamente sencillo, ya que muchos de los conceptos estructurales de la nueva 27701:2025 se apoyan en elementos que la 27001:2022 introdujo en su propia revisión: mayor énfasis en el contexto, enfoque por riesgos, liderazgo y mejora continua.

ISO/IEC 27701 como herramienta de confianza y ventaja competitiva

Más allá de la conformidad normativa, la principal aportación de ISO/IEC 27701:2025 es su capacidad para construir y sostener confianza en torno al tratamiento de datos personales. En un entorno donde las filtraciones, los usos opacos de la IA y los escándalos por mal uso de información están a la orden del día, poder acreditar un sistema de gestión maduro marca la diferencia.

Un PIMS bien implantado permite mostrar a clientes, socios y autoridades que la organización gestiona la privacidad con seriedad: hay políticas claras, se conocen los roles y responsabilidades, se evalúan riesgos de forma periódica, existen registros actualizados de tratamientos, se monitorizan indicadores, se hacen auditorías internas y se actúa cuando se detectan desviaciones.

Esto tiene impacto directo en gobernanza corporativa, cumplimiento, gestión de riesgos y cultura interna. La norma fomenta que la privacidad deje de ser un tema “del DPO” para convertirse en algo transversal que afecta a marketing, TI, desarrollo de producto, recursos humanos, compras, atención al cliente y dirección general.

Para muchas organizaciones, especialmente en sectores intensivos en datos (finanzas, salud, tecnología, administración pública, educación online, etc.), la certificación ISO/IEC 27701:2025 ya se está convirtiendo en un requisito o factor diferencial a la hora de cerrar contratos, participar en licitaciones o superar procesos de due diligence por parte de inversores.

Asumir este estándar no es solo cuestión de “proteger información”, sino de gestionar la confianza como un activo estratégico: ofrecer garantías sólidas de que los datos personales están bajo control, que las decisiones automatizadas se toman con respeto a los derechos de las personas y que la organización está preparada para responder con eficacia si algo se tuerce.