GDPR & privacy

ISO 27701:2025: qué cambió y por qué es relevante

ISO/IEC 27701 ha experimentado su mayor transformación desde su lanzamiento. La edición de 2025 ya no es un complemento de ISO/IEC 27001; es una norma de gestión de privacidad completa e independiente. Esto es lo que cambió, por qué es relevante y cómo prepararse.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lectura
ISO 27701:2025: What Changed and Why It Matters

Durante años, ISO 27701 pareció una extensión incómoda pegada sobre ISO 27001. ¿Útil? Sí. ¿Coherente? No del todo.

Los responsables de privacidad lidiaban con alcances poco claros, controles obsoletos y la pregunta constante: «¿Es un complemento o un sistema de gestión de privacidad real?»

ISO 27701:2025 acaba de zanjar el debate.

Esto no es una revisión. Es un rediseño.

La edición 2025 convierte ISO 27701 en un sistema de gestión completo y autónomo, con sus propios apartados, sus propios controles y su propia vía de certificación.

Es moderno, alineado con las realidades actuales de privacidad y seguridad, y por fin estructurado como cualquier otro estándar ISO de sistema de gestión.

Si actualmente opera un PIMS, esta actualización afecta a:

  • su modelo de gobernanza
  • sus roles
  • su SoA
  • sus controles
  • sus contratos
  • su gestión de terceros
  • sus auditorías
  • su hoja de ruta para los próximos 12 a 18 meses

Analizamos los cambios con claridad, de forma práctica y sin jerga normativa.

1. ISO 27701 es ahora un sistema de gestión independiente

Este es el cambio principal, enunciado explícitamente en el Prólogo:

«El documento ha sido redactado de nuevo como un estándar de sistema de gestión autónomo».

Se acabó la dependencia de ISO 27001. Se acabó el modelo de extensión. Se acabó el «primero necesitas la certificación 27001».

Qué implica en la práctica

  • Se puede certificar frente a ISO 27701 directamente.
  • La gobernanza de privacidad pasa a ser independiente de la función de seguridad de la información.
  • Las organizaciones pueden construir un PIMS aunque no necesiten un ISMS completo.
  • Los auditores tratarán el 27701 con el mismo rigor que el 9001 o el 27001.

La privacidad es ahora una disciplina de primer orden; no una sombra que vive detrás de la seguridad.

2. Apartados 4 a 10 completamente redactados de nuevo

La estructura completa refleja ahora el Marco Armonizado de Sistemas de Gestión de ISO:

  • Contexto
  • Liderazgo
  • Planificación
  • Apoyo
  • Operación
  • Evaluación del desempeño
  • Mejora

Esto no existía en 27701:2019; la versión anterior reutilizaba la estructura del 27001.

Una adición sorprendente

La organización debe determinar si el cambio climático es una cuestión relevante para el PIMS.

«La organización debe determinar si el cambio climático es una cuestión relevante».

Esto puede influir en la selección de centros de datos, la planificación de la resiliencia y la continuidad transfronteriza del tratamiento de datos personales.

3. Los roles son ahora mucho más claros (responsable del tratamiento frente a encargado del tratamiento)

La edición 2025 precisa la definición de roles e introduce una separación obligatoria:

Cuando una organización actúa simultáneamente como responsable y como encargado del tratamiento, se deberán determinar roles separados, cada uno con sus propios controles.

Impacto

  • No se pueden fusionar responsabilidades.
  • El SoA debe distinguir ambos roles.
  • Los contratos, las DPIAs y las evaluaciones de proveedores deben reflejar los roles de tratamiento reales.

Esto se alinea de forma mucho más precisa con la realidad del GDPR.

4. El Anexo A ha sido completamente reconstruido

El Anexo A de la edición 2025 es un catálogo de controles moderno y ampliado; no el mapeo reciclado de la era 27001:2013 que contenía la versión 2019.

El Anexo F recoge todos los cambios, incluidos los controles nuevos. A continuación se destacan algunos de ellos:

Nuevos controles introducidos en ISO 27701:2025

(todos referenciados desde el Anexo F)

Ciclo de vida del dato:

  • Supresión de información
  • Enmascaramiento de datos
  • Prevención de fuga de datos

Ingeniería y operaciones:

  • Codificación segura
  • Gestión de la configuración
  • Actividades de monitorización

Nube y cadena de suministro:

  • Seguridad de la información en servicios en la nube

Resiliencia:

  • Preparación de las TIC para la continuidad del negocio

Inteligencia de amenazas:

  • Inteligencia de amenazas (nuevo control)

Esto aproxima la gestión de privacidad al panorama de amenazas moderno: entornos nativos en la nube, prácticas de ingeniería, ciclo de vida del dato y monitorización continua.

5. Anexos de mapeo actualizados (GDPR, 29100, 27018, 29151)

La edición 2025 incluye tablas de correspondencia renovadas:

  • Anexo C → ISO/IEC 29100 Marco de Privacidad
  • Anexo D → GDPR
  • Anexo E → ISO 27018 y 29151

Esto es relevante porque la certificación PIMS suele servir como evidencia ante clientes, reguladores y autoridades de supervisión.

Los mapeos son ahora más claros, más estrictos y más alineados con las expectativas de aplicación normativa.

6. Una ruta de transición clara de 2019 a 2025

El Anexo F proporciona una tabla de mapeo completa con:

  • controles eliminados,
  • controles renombrados,
  • controles consolidados,
  • controles nuevos,
  • y cambios en los requisitos.

Esta es su hoja de ruta de migración.

Si tiene la certificación 27701:2019, necesitará:

  • un nuevo SoA,
  • una evaluación de riesgos actualizada,
  • DPIAs actualizadas,
  • registros de tratamiento actualizados,
  • contratos actualizados,
  • nuevos apartados de gobernanza,
  • y probablemente herramientas actualizadas.

Prevea un plan de transición de un año completo.

7. Por qué ISO 27701:2025 importa más que nunca

La privacidad ya no es un ejercicio documental; es operativa, técnica y estratégica.

La revisión de 2025 reconoce por fin:

  • los ecosistemas modernos en la nube
  • las cadenas de ingeniería
  • las complejidades del ciclo de vida del dato
  • la inteligencia de amenazas
  • la resiliencia técnica
  • el desarrollo seguro
  • el riesgo en la cadena de suministro
  • la monitorización y la detección
  • la fragmentación regulatoria en los mercados globales

En otras palabras:La privacidad ha entrado en la era GRC moderna.

Reflexión final

ISO 27701:2025 no es una simple actualización; es un reinicio.

El modelo de extensión ha muerto. La gobernanza de privacidad es ahora una disciplina autónoma con verdadero peso operativo. Las organizaciones deberán tratar este estándar con la misma seriedad que ISO 27001.

Si 27701:2019 trataba de documentar la privacidad, 27701:2025 trata de gestionar la privacidad operativamente.

Si busca un plan de migración claro y práctico, con un nuevo SoA, un análisis de brechas completo de 2019 a 2025 y una hoja de ruta de transición paso a paso, eso es exactamente lo que enseñamos en el Cyber Academy ISO27701:2025 Lead Implementer Masterclass. Únase a la próxima sesión y actualice su PIMS sin caos.

← Volver a todos los artículosMás sobre GDPR & privacy

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.

Suscribirse al boletínBack to articles