De extensión a estándar independiente: Novedades de la ISO 27701:2025
Después de varios meses esperando (a priori iba a publicarse la norma en marzo), por fin en octubre de 2025 se publicó el estándar ISO/IEC 27701:2025. Esta nueva versión trae una modificación clave: ya no es solo un complemento de la ISO 27001, sino que ahora puede certificarse de forma independiente.
La mayor limitación de la norma ISO 27701:2019 radicaba en que necesitaba implementarse como extensión de la ISO 27001. Varias organizaciones enfocadas principalmente en privacidad tenían que pasar antes por una certificación en seguridad de la información.
Desde la edición 2025, las organizaciones pueden obtener el sello ISO 27701 sin contar previamente con la ISO 27001, abriendo paso a más entidades hacia un sistema claro de gestión de privacidad. No obstante, también es posible aplicar ambas normas de forma integrada si se busca maximizar la eficiencia operativa y aprovechar sinergias entre ambos sistemas de gestión.
Principales novedades que transforman la norma
Estructura simplificada: alineación total con el ecosistema ISO
La actualización adopta el formato de alto nivel (HLS) usado en todas las normas ISO modernas, dividida en 11 cláusulas principales y anexos complementarios. Este cambio estructural representa una evolución fundamental en la filosofía de la norma.
El HLS permite que las organizaciones que ya gestionan otros sistemas como ISO 9001 de calidad, ISO 14001 ambiental, ISO 27001 de seguridad y 420001 sobre inteligencia artificial puedan integrar la gestión de privacidad de forma natural. Los mismos procesos de gestión de riesgos, auditoría interna, revisión por la dirección o mejora continua sirven para todos los sistemas, reduciendo significativamente la carga administrativa.
Gestión de riesgos reforzada: el corazón del cambio
Aquí es donde la norma muestra su evolución más significativa. La ISO 27701:2025 introduce requisitos explícitos para la evaluación y tratamiento de riesgos de privacidad, algo que en la versión anterior quedaba más difuso.
El método de análisis de riesgos en dos niveles permite un resultado especialmente interesante:
- Primer nivel – Riesgos para la organización: Evalúa el impacto que una vulneración de privacidad va a ocasionar sobre la propia organización. Estas consecuencias pueden ser sanciones económicas, daño reputacional, pérdida de confianza de los clientes, o interrupciones operativas. Por ejemplo, una explotación de datos personales puede implicar sanciones millonarias bajo RGPD, además del coste de notificar dicha brecha, de la investigación forense necesaria y de la eventual puesta en marcha de medidas correctivas.
- Segundo nivel – Riesgos para los interesados: Analiza la potencial repercusión de manera especial sobre las personas cuyos datos estamos tratando. Las consecuencias que se pueden mencionar se refieren, por ejemplo, a discriminación, daño emocional, pérdida de oportunidades, suplantación de identidad, o daño físico derivado de un tratamiento inadecuado de las personas cuyos datos estamos tratando.
Programa de seguridad obligatorio
La norma exige ahora de forma explícita que las organizaciones establezcan un programa de seguridad de la información según la ISO 27001:2022, cubriendo 15 áreas fundamentales. Esto supone un cambio notable respecto a la versión anterior, donde la relación con la seguridad era más implícita.
Las áreas obligatorias incluyen elementos esenciales como la gestión de riesgos de seguridad, políticas y procedimientos, gestión de activos, control de accesos, criptografía, seguridad física y ambiental, gestión de incidentes, continuidad del negocio, y cumplimiento normativo, entre otros controles aplicables.
En conclusión, esto significa que, aunque una organización busque únicamente la certificación en privacidad, debe tener implementados controles robustos de seguridad de la información. Y tiene sentido: no se puede proteger adecuadamente la privacidad sin una base sólida de seguridad. Son dos caras de la misma moneda.
Guía de implementación separada: claridad normativa
Otras mejoras relevantes
La norma también incorpora un glosario completo con aproximadamente 25 términos definidos, frente a los apenas dos términos de la versión anterior. Esto mejora notablemente la claridad terminológica y reduce ambigüedades interpretativas.
Además, alineándose con las últimas actualizaciones ISO, incluye la obligación de considerar si el cambio climático es un aspecto relevante al determinar el contexto de la organización, reflejando una creciente conciencia sobre la sostenibilidad en todos los ámbitos de gestión empresarial.
Implicaciones para los Delegados de Protección de Datos
Para los delegados de protección de datos, esta norma proporciona una guía clara sobre cómo demostrar cumplimiento del RGPD, especialmente del principio de responsabilidad proactiva. El Anexo D incluye un mapeo detallado vinculado a cada artículo del Reglamento, pudiendo servir como hoja de ruta para las auditorías de la AEPD.
Ejemplo práctico: si la AEPD revisa cómo gestionamos el ejercicio de derechos, con los controles A.1.3.7 y A.1.3.10 podemos demostrar que tenemos procedimientos documentados para responder a las solicitudes de los interesados dentro de los plazos legalmente establecidos.
La norma mantiene prácticamente inalterados los controles para responsables del tratamiento (Tabla A.1) y encargados del tratamiento (Tabla A.2), lo que facilita la transición para organizaciones ya certificadas.
Transición y conclusión
Por todo ello, quienes tengan la certificación en la edición de 2019 necesitan actualizar sus sistemas, enfocándose en la nueva gestión de riesgos de privacidad, documentando el programa de seguridad y reorganizando la documentación. No hay que empezar desde cero: gran parte del trabajo previo sigue siendo válido.
En conclusión, la ISO/IEC 27701:2025 consolida la gestión de la privacidad como un área independiente y madura. Su alineación con el RGPD la convierte en herramienta estratégica para organizaciones en España que necesitan demostrar, de forma verificable, cómo protegen los datos personales. Aunque no constituye una obligación legal, sigue siendo el principal estándar internacional de referencia para acreditar la madurez de un sistema de gestión de privacidad.
Centro de Competencia Privacidad de Govertis, part of Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
