Esta guía cubre los siguientes temas:
- Qué es ISO/IEC 27701 y por qué importa
- Beneficios, estructura y proceso de certificación
- El cambio más importante: una norma totalmente autónoma
- Cambios clave respecto a la versión de 2019
- Qué significa para las organizaciones ya certificadas
- Plazo y calendario de transición
- Errores habituales al preparar la transición
- Cómo puede ayudar PrivaLex
ISO 27701 es la norma internacional de gestión de la privacidad de la información. Su edición 2025, publicada el 14 de octubre, es la actualización más relevante en años: pasa a ser un marco autónomo y permite certificar un Sistema de Gestión de Información de Privacidad (SGIP o PIMS, en inglés) sin ISO 27001 previa.
Si ya estás certificado en ISO/IEC 27701:2019, tienes hasta octubre de 2028 para la transición. Si empiezas de cero, la base es la versión 2025. Esta guía explica qué es la norma, cómo certificarse y qué ha cambiado.
Qué es ISO/IEC 27701 y por qué importa
ISO/IEC 27701:2025 es el estándar internacional para los sistemas de gestión de información de privacidad. Proporciona un marco estructurado para establecer, implementar, mantener y mejorar cómo gestionamos la información de identificación personal (PII). Aplica a responsables y encargados del tratamiento, alineados con el RGPD.
En la edición de 2019, ISO 27701 era extensión de ISO 27001: hacía falta un SGSI certificado para implementarla. En 2025 esa dependencia desaparece.
Para organizaciones en la UE, la norma ayuda a pasar de declarar cumplimiento a demostrarlo, como explicamos en de cumplimos el RGPD a podemos demostrarlo. La certificación aporta evidencias auditables ante clientes, partners y autoridades.
Beneficios, estructura y proceso de certificación
Beneficios principales
- Evidencias auditables de gobernanza de privacidad frente al RGPD, CCPA, LGPD y contratos B2B.
- Confianza de clientes, partners e inversores en due diligence.
- Gestión de riesgos de privacidad de forma sistemática y mejora continua.
- Flexibilidad desde 2025: certificación autónoma o integrada con ISO 27001.
- Menor riesgo de brechas, sanciones e interrupciones operativas.
Estructura (cláusulas 4-10) y ciclo PDCA
La edición 2025 sigue la estructura de alto nivel armonizada: contexto de la organización (4), liderazgo (5), planificación (6), apoyo (7), operación (8), evaluación del desempeño (9) y mejora (10). Los Anexos A y B recogen controles para responsables y encargados.
El ciclo PDCA (Planificar, Hacer, Verificar, Actuar) recorre el SGIP: definir alcance y riesgos, implementar controles, auditar internamente y corregir. Es el mismo enfoque que en otras normas ISO de sistemas de gestión.
Pasos hacia la certificación
- Compromiso de dirección y definición del alcance del SGIP.
- Evaluación de brechas frente a ISO/IEC 27701:2025.
- Análisis de riesgos de privacidad y Declaración de Aplicabilidad (SoA).
- Implementación de controles y formación del equipo.
- Auditoría interna y revisión por la dirección.
- Auditoría de certificación con un organismo acreditado.
- Vigilancia anual y mejora continua.
Documentar controles y evidencias con rigor es clave; la lógica es similar a la que aplicamos en cómo documentar controles ISO 27001, adaptada al SGIP.
El cambio más importante: una norma totalmente autónoma
El cambio estructural de ISO/IEC 27701:2025 es que ya no es extensión de ISO 27001. Es una norma de sistema de gestión independiente con Cláusulas 4 a 10 propias. Podemos certificar un SGIP sin ISO 27001.
La edición 2025 retoma y actualiza requisitos ya presentes en ISO/IEC 27701:2019, ISO/IEC 27001:2022 e ISO/IEC 27002:2022, así que quienes vienen de esos marcos no empiezan de cero.
Este cambio beneficia sobre todo a:
- Organizaciones con muchos datos personales que no necesitan un SGSI completo.
- Empresas SaaS con SOC 2 que quieren cubrir privacidad sin duplicar auditorías de seguridad.
- Entidades públicas o sin ánimo de lucro con obligaciones de privacidad elevadas y recursos limitados.
- Certificados en 2019 que prefieren mantener SGIP y SGSI integrados, la vía integrada sigue disponible.
La edición 2025 introduce también ISO/IEC 27706:2025, orientación para organismos de certificación que auditen SGIP. Sustituye a ISO/TS 27006-2:2021.
Cambios clave respecto a la versión de 2019
Estructura de alto nivel armonizada
ISO/IEC 27701:2025 comparte Cláusulas 4 a 10 con ISO 27001 e ISO 42001. Facilita alinear ciclos de auditoría y documentación cuando gestionamos varias certificaciones.
Anexos reestructurados para responsables y encargados
El Anexo A consolida controles para responsables y encargados (A.1, A.2 y A.3), con distinción explícita alineada con el RGPD.
Orientación ampliada sobre IA y entornos digitales
Mayor claridad sobre PII en contextos de IA y decisiones automatizadas, con referencias a ISO/IEC 42001. Si usamos IA con datos personales, conviene cruzarlo con cómo se complementan el AI Act e ISO 42001.
Requisitos de gobernanza y liderazgo más robustos
La Cláusula 7 refuerza recursos, competencias y concienciación. La privacidad debe estar en la estrategia y el liderazgo, no solo en cumplimiento.
Controles operativos y ciclo de vida de PII
La Cláusula 8 simplifica el control operativo en todo el ciclo de vida de PII, desde la recogida hasta la supresión, con detalle en Anexos A y B.
Referencias normativas más reducidas
La Cláusula 2 referencia principalmente ISO/IEC 29100 (Marco de Privacidad), reflejando la autonomía respecto a ISO 27001/27002 de la edición 2019.
Qué significa para las organizaciones ya certificadas
Si estás certificado en ISO/IEC 27701:2019, no empiezas de cero. Cambia la estructura a la que alinear el SGIP y las evidencias bajo 2025.
Pasos prácticos de transición:
- Evaluación de brechas comparando documentación actual con la edición 2025.
- Actualizar la SoA con anexos reestructurados y controles nuevos o revisados.
- Revisar la matriz de riesgo de privacidad (IA, cloud, transferencias internacionales).
- Actualizar gobernanza, procesos y auditorías internas a la nueva estructura.
- Documentar roles de responsable y encargado según Anexo A.
- Formar a cumplimiento, legal, seguridad y privacidad.
- Coordinar con el organismo de certificación antes de octubre de 2028.
Quienes ya tienen ISO 27001:2022 e ISO 27701:2019 integrados suelen encontrar la transición más directa. Si valoramos la vía integrada desde cero, certificación ISO 27001 en startups de la UE comparte lógica de alcance y evidencias aplicable al SGIP.
Plazo y calendario de transición
ISO/IEC 27701:2025 se publicó el 14 de octubre de 2025. El periodo de transición es de tres años: hasta octubre de 2028 para completar la auditoría de transición.
Los organismos de acreditación (IAF, UKAS, ENAC, etc.) consolidan requisitos específicos de la auditoría de transición. Conviene confirmarlos con tu certificador.
Para nuevas implementaciones, solo tiene sentido construir sobre la edición 2025.
Errores habituales al preparar la transición
Esperar a que el plazo esté próximo
Tres años pasan rápido y los huecos con certificadores se agotan. Anticipar permite integrar la transición en auditorías de vigilancia.
Tratar la autonomía como irrelevante si ya tenemos ISO 27001
Aunque mantengamos SGIP y SGSI integrados, 2025 exige evaluación de brechas y actualización documental.
Actualizar la documentación sin actualizar la práctica
Los auditores revisan evidencias de implementación, no solo políticas y SoA.
Ignorar IA y tratamiento automatizado
Si hay perfiles, decisiones automatizadas o IA con PII, la edición 2025 es exigente. Omitirlo en la brecha genera no conformidades.
Cómo puede ayudar PrivaLex
En PrivaLex Partners acompañamos en todo el ciclo ISO/IEC 27701: brechas, SoA, documentación del SGIP, auditoría interna, transición 2025 o primera certificación autónoma.
También ayudamos a decidir entre SGIP autónomo o integrado con ISO 27001. Para muchas SaaS y empresas de datos en la UE, la vía autónoma acorta el camino hacia evidencias de privacidad sin la carga completa de ISO 27001.
Agenda una sesión con nosotros para evaluar tu situación y trazar un plan práctico hacia ISO/IEC 27701:2025.
Preguntas frecuentes (FAQ)
No. Es el cambio principal de 2025: norma autónoma. Puedes certificar un SGIP sin ISO 27001. Si ya la tienes y quieres sistema integrado, sigue siendo posible, pero ya no es requisito.
Octubre de 2028. Publicada el 14 de octubre de 2025, la transición dura tres años.
Evaluación de brechas frente a 2025, actualizar SoA y documentación, revisar riesgos de PII, formar al equipo y programar auditoría de transición con tu certificador. Con ISO 27001:2022 alineado, la transición suele ser más manejable.
Sí. Alinea documentación, riesgos, roles de responsable y encargado, derechos y brechas con lo que el RGPD exige demostrar. No sustituye el análisis jurídico de tus tratamientos, pero aporta evidencias sólidas de gobernanza madura.
Sí. Con la edición autónoma, SOC 2 cubre seguridad e ISO 27701 privacidad sin duplicar un programa ISO 27001 completo. Muy habitual en SaaS con clientes en UE y EE.UU.
Entre tres y seis meses desde la brecha hasta el certificado en implementaciones autónomas típicas, según tamaño, complejidad del tratamiento y madurez previa. La transición desde 2019 suele ser más corta. Tras una evaluación inicial podemos afinar el plazo.
Próximo paso
Tanto si gestionas una certificación existente como si evalúas la vía autónoma por primera vez, el punto de partida es una evaluación de brechas estructurada.
Agenda una sesión con PrivaLex y definimos tu plan de transición o implementación.
Nuestra garantía
Mientras tú creces, en PrivaLex nos ocupamos del cumplimiento y la protección de datos. Hablemos sobre cómo mantener tu empresa lista para cualquier auditoría.
