Inicio Normas Sectores ✦ Evaluación IA Solicitar cotización →
InicioNormas → ISO 27701

ISO/IEC 27701 — Gestión de Información de Privacidad

El estándar internacional para Sistemas de Gestión de Información de Privacidad (SGIP). ISO 27701 extiende ISO 27001 con controles específicos de privacidad, proporcionando un marco estructurado y auditable para el cumplimiento del GDPR, LGPD, PIPEDA y otras regulaciones de privacidad.

ISO 27701:2019SGIPAlineación con GDPRMarco de privacidad

¿Qué es ISO/IEC 27701?

ISO/IEC 27701:2019 es una extensión de ISO 27001 e ISO 27002 que especifica requisitos y orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (SGIP). Mapea los controles de privacidad a los roles de Responsables del Tratamiento de Información Personal (PICs) y Encargados del Tratamiento de Información Personal (PIPs).

Relación con ISO 27001

ISO 27701 no es un estándar independiente: extiende ISO 27001. Las organizaciones deben tener la certificación ISO 27001 (o buscarla simultáneamente) antes de obtener la certificación ISO 27701. El programa integrado comparte el marco de gestión del SGSI, reduciendo significativamente el esfuerzo de implementación y el costo de auditoría en comparación con proyectos separados.

¿Quién necesita ISO 27701?

  • Organizaciones que procesan datos personales de la UE bajo obligaciones del GDPR
  • Proveedores de servicios en la nube y encargados del tratamiento que manejan datos personales de clientes
  • Plataformas de tecnología sanitaria y de recursos humanos
  • Empresas de servicios financieros sujetas a requisitos de múltiples jurisdicciones de privacidad
  • Cualquier organización que busque demostrar responsabilidad bajo el Artículo 5(2) del GDPR

ISO 27701 y cumplimiento del GDPR

Si bien la certificación ISO 27701 no constituye prueba legal de cumplimiento del GDPR, proporciona un marco documentado e independientemente auditado que mapea directamente a las obligaciones de responsabilidad del GDPR. Las autoridades de supervisión y los delegados de protección de datos reconocen ampliamente ISO 27701 como una medida de responsabilidad sólida bajo el Artículo 24 del GDPR.

Áreas de control clave

  • Condiciones de privacidad para la recopilación y el tratamiento de información personal
  • Obligaciones hacia los individuos (interesados): transparencia, acceso, rectificación, supresión
  • Privacidad por diseño y por defecto en el diseño de sistemas y procesos
  • Controles de transferencia de datos, incluidos mecanismos de transferencia transfronteriza
  • Gestión de encargados y subencargados del tratamiento bajo el Artículo 28 del GDPR
  • Procedimientos de notificación de brechas de datos alineados con el requisito de 72 horas del GDPR

Cronograma típico

Para organizaciones que ya tienen ISO 27001: 2–3 meses para añadir la certificación ISO 27701. Para organizaciones que buscan ISO 27001 + ISO 27701 simultáneamente: 4–6 meses.