ISO/IEC 27701.

ISO 27701 es la extensión de gestión de información de privacidad sobre ISO 27001. Añade obligaciones de responsable y encargado del tratamiento sobre el SGSI. Útil para organizaciones que desean un único sistema de gestión certificable que cubra tanto seguridad como privacidad. Se corresponde con el GDPR, pero no «sustituye» el trabajo de cumplimiento del GDPR.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

ISO 27701 es la extensión de gestión de información de privacidad sobre ISO 27001. Añade obligaciones de responsable y encargado del tratamiento sobre el SGSI. Útil para organizaciones que desean un único sistema de gestión certificable que cubra tanto seguridad como privacidad. Se corresponde con el GDPR, pero no «sustituye» el trabajo de cumplimiento del GDPR.

Una extensión, no una norma autónoma

ISO/IEC 27701 no se sostiene por sí sola. Está concebida como una extensión de ISO/IEC 27001 e ISO/IEC 27002, lo que significa que no puede certificarse en ella sin disponer previamente de un sistema de gestión de la seguridad de la información (SGSI) en funcionamiento. La norma toma los controles de seguridad que ya opera y superpone requisitos y orientaciones específicos de privacidad, convirtiendo el SGSI en un Sistema de Gestión de Información de Privacidad (PIMS). Para una organización que ya opera ISO 27001, este es un paso eficiente: reutiliza el mismo gobierno, la misma metodología de riesgo, el mismo ciclo de auditoría, y amplía el alcance para cubrir el tratamiento de información de identificación personal (PII).

Esa elección arquitectónica es la cuestión central. En lugar de gestionar la privacidad como un programa separado con sus propios comités y sus propias evidencias, ISO 27701 le permite certificar un único sistema de gestión que cubre tanto la seguridad como la privacidad. La Declaración de Aplicabilidad se amplía, la evaluación de riesgos considera ahora el riesgo de privacidad para las personas y no solo el riesgo para la organización, y el mismo organismo de certificación audita el conjunto en un solo encargo.

Obligaciones del responsable y del encargado del tratamiento

ISO 27701 reparte sus requisitos adicionales según la misma línea que traza la legislación de protección de datos: entre la organización que actúa como responsable del tratamiento (decidiendo por qué y cómo se trata la PII) y la organización que actúa como encargado del tratamiento (tratando PII por cuenta de un tercero). Muchas organizaciones son ambas a la vez, según el conjunto de datos, por lo que la norma le ofrece dos conjuntos de orientaciones y le pide aplicar el que corresponda a cada actividad de tratamiento.

  • Los temas del lado del responsable del tratamiento incluyen la base de licitud y la finalidad, el consentimiento y la elección, la transparencia hacia las personas, la gestión de las solicitudes de los interesados, los registros de tratamiento, y las obligaciones cuando comparte PII con terceros.
  • Los temas del lado del encargado del tratamiento incluyen actuar únicamente conforme a instrucciones documentadas, asistir al responsable en sus obligaciones, gestionar a los subencargados, y devolver o suprimir la PII al término de un contrato.

En la práctica, esto es lo que un equipo de privacidad ya hace bajo los regímenes modernos de protección de datos, pero ISO 27701 lo organiza en controles auditables con evidencia documentada, que es precisamente lo que convierte una postura de privacidad en algo que un tercero puede verificar.

Dónde se sitúa junto al GDPR

La lectura errónea más común es que la certificación ISO 27701 le hace cumplir con el GDPR. No lo hace, y tiene cuidado de no afirmarlo. El GDPR es una ley e ISO 27701 es una norma de sistema de gestión voluntaria. Lo que 27701 le aporta es un marco estructurado y certificable cuyos controles se corresponden estrechamente con los principios de protección de datos, por lo que constituye una prueba sólida de responsabilidad proactiva (accountability) y una buena columna vertebral operativa. Pero el cumplimiento de un régimen legal específico sigue requiriendo su propio análisis jurídico, sus registros, y su gestión demostrable de los derechos individuales bajo esa ley.

ISO 27701 junto al GDPR
DimensiónISO/IEC 27701GDPR
NaturalezaNorma de sistema de gestión voluntariaLey vinculante de la UE
Qué produceUn PIMS certificableObligaciones legales y derechos individuales
Construida sobreISO 27001 / ISO 27002Principios de protección de datos
Verificada porOrganismo de certificación acreditadoAutoridades de control y tribunales
RelaciónSe corresponde con el cumplimiento y lo respaldaLa obligación que 27701 le ayuda a cumplir

La forma limpia de operarlo es anclar la privacidad en el mismo SGSI que utiliza para la seguridad, certificar el sistema combinado a ISO 27001 más ISO 27701, y mantener a su delegado de protección de datos y a su equipo jurídico como propietarios de la ley misma. La norma se encarga de la disciplina operativa; ellos se encargan de la interpretación.

Frequently asked questions

01¿Puedo certificarme en ISO 27701 sin ISO 27001?

No. ISO 27701 es una extensión que requiere un SGSI ISO 27001 certificado, o certificado de forma concurrente, como base. Usted amplía el sistema de gestión existente para convertirlo en un sistema de gestión de información de privacidad en lugar de construir uno separado.

02¿ISO 27701 hace que mi organización cumpla con el GDPR?

No. Es una norma voluntaria cuyos controles se corresponden estrechamente con los principios de protección de datos, por lo que constituye una prueba sólida de responsabilidad proactiva. El cumplimiento efectivo del GDPR sigue requiriendo su propio análisis jurídico, sus registros, y su gestión de los derechos individuales.

03¿Qué es un PIMS?

Un Sistema de Gestión de Información de Privacidad es lo que se obtiene cuando ISO 27701 amplía un SGSI ISO 27001 para cubrir la protección de la información de identificación personal, añadiendo los requisitos del responsable y del encargado del tratamiento a los controles de seguridad ya implantados.

04¿ISO 27701 cubre tanto a responsables como a encargados del tratamiento?

Sí. Proporciona orientaciones separadas para las organizaciones que actúan como responsables del tratamiento de PII y como encargados del tratamiento de PII, y usted aplica el conjunto que corresponda a cada actividad de tratamiento. Muchas organizaciones son ambas según el conjunto de datos.

05¿Cómo se relaciona ISO 27701 con el rol del DPO?

Son complementarios. ISO 27701 aporta el sistema de gestión y los controles auditables, mientras que el delegado de protección de datos es responsable de la interpretación de la ley, el asesoramiento, y la relación con las autoridades de control. La norma hace que el trabajo del DPO sea repetible y esté documentado.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.