Ir al contenido
Gobernanza y Conformidad

¿Qué es la ISO/IEC 27701?

La ISO/IEC 27701 es la norma internacional que define cómo una empresa debe gestionar la privacidad de los datos personales que maneja, a través de un sistema de gestión de privacidad de la información (PIMS). Organiza políticas, roles y controles para proteger los datos personales y comprobar ese cuidado ante clientes y reguladores. Desde la edición de 2025 se volvió una norma autónoma: puede certificarse sola, sin exigir antes la certificación de seguridad de la información ISO 27001.

Zamak TechnologiesActualizado el 11 de julio de 2026

Cómo funciona la ISO/IEC 27701

La ISO/IEC 27701 toma la lógica de un sistema de gestión (planificar, hacer, verificar, actuar) y la aplica específicamente a la privacidad. Distingue a quien decide sobre el dato (el controlador) de quien solo lo procesa por encargo de otro (el encargado), y define obligaciones para cada rol. Es el puente entre 'nos tomamos la privacidad en serio' y una certificación que un tercero auditó.

1

Mapee el dato personal

El punto de partida es saber qué datos personales recopila la empresa, para qué, dónde quedan y por cuánto tiempo. Sin ese mapa no hay gestión de privacidad, solo intención.

2

Defina su rol

La norma trata de forma distinta al controlador (quien decide el uso del dato) y al encargado (quien lo procesa por encargo de un cliente). Saber cuál es usted define qué controles se aplican.

3

Implemente los controles de privacidad

Sobre la base de seguridad de la información, la norma agrega controles específicos de privacidad: consentimiento, derechos del titular, minimización y transparencia sobre el uso del dato.

4

Certifique con un tercero

Una entidad independiente audita el sistema en busca de evidencia de que funciona. Desde 2025, esa certificación puede obtenerse de forma autónoma, sin la ISO 27001 como requisito previo.

Fuente: ISO/IEC 27701:2025 (iso.org) e ISO/IEC 27001:2022.

Por qué la privacidad necesita su propio sistema

  • Proteger el dato no es lo mismo que respetar la privacidad. La seguridad impide la filtración; la privacidad decide si ese dato debería siquiera estar ahí, y por cuánto tiempo. Son cosas distintas.
  • Las leyes se multiplicaron. Ya son más de 140 países con ley de protección de datos (IAPP, 2025), de la LGPD en Brasil al GDPR en Europa, y cada una pide prueba de que la empresa gestiona el dato con cuidado.
  • El cliente corporativo se volvió fiscal. Las empresas exigen a sus proveedores garantía de privacidad antes de compartir datos, y una certificación reconocida acorta esa conversación de venta.
  • La edición de 2025 bajó la barrera de entrada. Como ahora la norma es autónoma, una empresa puede certificar la gestión de privacidad sin antes montar todo el sistema de seguridad de la información, lo que abre la puerta a más organizaciones.

Lo que la norma organiza, en la práctica

  • Roles: controlador y encargado La norma separa a quien decide el uso del dato de quien solo lo procesa por encargo de otro. Cada rol tiene obligaciones propias, y muchas empresas son las dos cosas a la vez.
  • Derechos del titular Acceso, corrección, eliminación y portabilidad del dato. La norma organiza cómo la empresa atiende esas solicitudes de forma consistente, y no caso por caso.
  • Ciclo de vida del dato De la recolección al descarte: minimización (recolectar solo lo necesario), finalidad clara y retención con plazo. Los datos que no deberían existir son los que más crean riesgo.
  • Base autónoma desde 2025 La nueva edición es un sistema de gestión completo por sí solo, alineado a la estructura de la ISO 27001:2022, y ya no un apéndice que exige el ISMS antes.

Qué está en juego para el negocio

14/10/2025
fecha en que se publicó la nueva edición autónoma de la ISO/IEC 27701
140+
países ya tienen ley de protección de datos que la norma ayuda a atender (IAPP, 2025)
$ 4,44 millones
costo promedio global de una brecha de datos, IBM 2025

La ISO/IEC 27701 dejó de ser un ítem para grandes corporaciones y se volvió una ventaja competitiva accesible. La edición publicada el 14 de octubre de 2025 volvió autónoma la norma: antes, para certificar la gestión de privacidad, la empresa tenía que tener y mantener también la certificación de seguridad de la información ISO 27001; ahora puede certificar la privacidad de forma independiente, lo que reduce el costo y el tiempo de entrada. Eso importa porque la vara de la privacidad solo sube: ya son más de 140 países con ley de protección de datos (IAPP, 2025), y el cliente corporativo pasó a exigir prueba de cuidado antes de compartir datos. La norma no garantiza, por sí sola, la conformidad con una ley específica como la LGPD o el GDPR, pero ofrece la estructura que sostiene esa conformidad y la vuelve auditable. Y la alternativa cuesta caro: una brecha de datos personales todavía cuesta, en promedio, $ 4,44 millones en el mundo (IBM, 2025), además del daño a la confianza.

Cómo adopta una empresa la ISO/IEC 27701

Adoptar la ISO/IEC 27701 es transformar una intención de privacidad en un sistema comprobable. El camino es más corto desde que la norma se volvió autónoma:

  1. Inventaríe el dato personal primeroAntes de cualquier control, mapee qué dato personal maneja la empresa, para qué y por cuánto tiempo. Es la base sobre la que se apoya todo lo demás.
  2. Defina controlador y encargadoPara cada flujo de dato, determine si la empresa decide el uso o solo lo procesa por encargo de un cliente. Ese encuadre define qué obligaciones se aplican.
  3. Reúna las leyes que debe atenderLGPD, GDPR u otra: la norma es la estructura, pero las exigencias concretas vienen de las leyes de los mercados en los que opera. Mapéelas para no certificar en el vacío.
  4. Implemente y documenteConsentimiento, derechos del titular, minimización y retención con plazo tienen que existir en la práctica y dejar evidencia. La prueba es lo que el auditor busca.
  5. Certifique cuando tenga sentidoLa certificación por un tercero es lo que convierte la buena gestión en un argumento de venta reconocido. Desde 2025, puede obtenerse sin la ISO 27001 como requisito previo.

En la práctica

Si un cliente preguntara hoy qué datos personales suyos guarda su empresa, por qué y por cuánto tiempo, ¿tendría una respuesta lista? Cuando la respuesta es 'tengo que averiguar', la privacidad todavía es intención, no un sistema.

Cómo Zamak apoya el camino de la ISO/IEC 27701

Zamak Technologies apoya el camino hacia la ISO/IEC 27701 al lado de su equipo: ayuda a inventariar el dato personal, a definir los roles de controlador y encargado, a implementar los controles de privacidad y a mantener la evidencia lista para la auditoría, usando una plataforma de conformidad como uno de los mapas de ruta. Una aclaración honesta de defensabilidad: la certificación es de la empresa auditada y de las herramientas empleadas; Zamak apoya el camino, no emite el certificado. Un buen punto de partida es el autodiagnóstico de conformidad, dentro de la Gobernanza y Conformidad del Método Zamak.

Preguntas frecuentes sobre la ISO/IEC 27701

¿Cuál es la diferencia entre la ISO 27701 y la ISO 27001?
La ISO 27001 gestiona la seguridad de la información: proteger el dato contra el acceso y la pérdida. La ISO 27701 gestiona la privacidad: cómo se recopila, usa y descarta el dato personal, y cómo se respetan los derechos de las personas. La privacidad se apoya en la seguridad, pero responde a una pregunta distinta.
¿La ISO 27701 reemplaza a la ISO 27001?
No la reemplaza, pero desde la edición de 2025 ya no la exige como requisito previo. Antes era un apéndice que solo se certificaba sobre un sistema ISO 27001 existente; ahora es una norma autónoma, que puede certificarse sola. Las dos siguen complementándose.
¿La ISO 27701 garantiza la conformidad con la LGPD o el GDPR?
No la garantiza, por sí sola. Ofrece la estructura de gestión que sostiene la conformidad y la vuelve auditable, y mapea a principios del GDPR, pero las exigencias específicas de cada ley aún deben atenderse. Es un fuerte apoyo, no un sello automático.
¿Qué es un PIMS?
PIMS es el sistema de gestión de privacidad de la información: el conjunto de políticas, roles, procesos y controles que la empresa mantiene para gestionar el dato personal de forma consistente y comprobable. La ISO 27701 es la norma que define cómo debe ser ese sistema.
¿Qué cambió en la edición de 2025?
El cambio principal es que la norma se volvió autónoma: ya no es una extensión de la ISO 27001 y puede certificarse de forma independiente, sin exigir antes el sistema de seguridad de la información. La estructura también se alineó con las normas de gestión más recientes.
¿Una empresa que no es gigante necesita la ISO 27701?
Necesitarla, en el sentido legal, depende del contrato y del mercado. Pero con la norma ahora autónoma, la certificación se volvió accesible para organizaciones más pequeñas que quieren probar cuidado con los datos ante clientes y socios, sin antes montar todo un sistema de seguridad de la información.