Contenido

    Esta guía cubre los siguientes temas:

    1. Qué es ISO/IEC 27701 y por qué importa
    2. El cambio más importante: una norma totalmente autónoma
    3. Cambios clave respecto a la versión de 2019
    4. Qué significa para las organizaciones ya certificadas
    5. Plazo y calendario de transición
    6. Errores habituales al preparar la transición
    7. Cómo puede ayudar PrivaLex

    ISO/IEC 27701:2025 fue publicada el 14 de octubre de 2025 y representa la actualización más significativa de los estándares de gestión de la información de privacidad en años. El cambio más relevante no es un ajuste en la lista de controles: la norma es ahora un marco totalmente autónomo. Las organizaciones pueden certificar un Sistema de Gestión de Información de Privacidad (SGIP) sin necesidad de contar previamente con la certificación ISO 27001. Esto cambia considerablemente el panorama, tanto para las organizaciones ya certificadas bajo la versión de 2019 como para las que contemplan la certificación por primera vez.

    Si tu organización ya está certificada bajo ISO/IEC 27701:2019, dispones hasta octubre de 2028 para completar la transición. Si estás planificando una nueva implementación, la versión de 2025 es la que debes usar como base. Esta guía explica qué ha cambiado, qué significa en la práctica y cómo prepararse.

    Qué es ISO/IEC 27701 y por qué importa

    ISO/IEC 27701 es el estándar internacional para los Sistemas de Gestión de Información de Privacidad (SGIP). Proporciona un marco estructurado e internacionalmente reconocido que ayuda a las organizaciones a establecer, implementar, mantener y mejorar continuamente la forma en que gestionan la información de identificación personal (PII). La norma se aplica tanto a los responsables del tratamiento de PII como a los encargados del tratamiento, términos que se corresponden directamente con los conceptos de responsable y encargado del tratamiento de datos del RGPD.

    En la edición de 2019, ISO/IEC 27701 fue diseñada como una extensión de ISO/IEC 27001. Para implementarla o certificarla, una organización necesitaba primero contar con un Sistema de Gestión de Seguridad de la Información (SGSI) bajo ISO 27001. Esa dependencia ha desaparecido. La edición de 2025 es autónoma.

    Para las organizaciones de la UE, la relevancia es clara. El RGPD exige a las organizaciones que demuestren responsabilidad proactiva, no limitarse a afirmar, sino acreditar que los datos personales se tratan de forma lícita, leal y segura. La certificación ISO/IEC 27701 proporciona exactamente esa base de evidencias. Demuestra a clientes, socios y autoridades supervisoras que la gobernanza de la privacidad es sistemática, documentada e independientemente verificada.

    El cambio más importante: una norma totalmente autónoma

    El cambio más significativo de ISO/IEC 27701:2025 es estructural. La norma ya no es una extensión de ISO/IEC 27001. Es ahora una norma de sistema de gestión independiente, siguiendo en sí misma la estructura de alto nivel armonizada de ISO (Cláusulas 4 a 10). Las organizaciones pueden implementar y certificar un SGIP sin contar ni necesitar la certificación ISO 27001.

    Este cambio es relevante para varios grupos de organizaciones:

    • Las organizaciones que tratan grandes volúmenes de datos personales pero no necesitan ni desean un Sistema de Gestión de Seguridad de la Información completo bajo ISO 27001 pueden ahora obtener la certificación de privacidad directamente.
    • Las empresas SaaS y negocios orientados a datos que ya cuentan con SOC 2 para seguridad pueden añadir ISO/IEC 27701:2025 para cubrir privacidad, sin duplicar el trabajo de auditoría de seguridad de la información.
    • Las entidades del sector público y entidades sin ánimo de lucro donde las obligaciones de privacidad son significativas pero los recursos para un programa completo de ISO 27001 son limitados disponen ahora de una vía proporcional hacia la certificación.
    • Las organizaciones ya certificadas bajo la versión de 2019 pueden mantener un SGIP e SGSI integrados si lo desean, la vía de integración sigue disponible y sigue teniendo sentido para muchas.

    La edición de 2025 introduce también una nueva norma complementaria, ISO/IEC 27706:2025, que proporciona orientación específica para los organismos de certificación que auditen SGIP bajo el nuevo marco. Reemplaza a ISO TS 27006-2:2021 y actualiza la infraestructura de certificación de ISO 27701.

    Cambios clave respecto a la versión de 2019

    Más allá de la estructura autónoma, la edición de 2025 introduce varias actualizaciones sustanciales en las cláusulas y anexos de la norma.

    Estructura de alto nivel armonizada

    ISO/IEC 27701:2025 sigue ahora la misma estructura de Cláusulas 4 a 10 que otras normas de sistemas de gestión ISO, incluidas ISO 27001 e ISO 42001. Esto facilita significativamente la gestión en entornos con múltiples certificaciones. Las organizaciones que cuentan con varias certificaciones pueden alinear ciclos de auditoría, compartir documentación y reducir la duplicación en sus programas de cumplimiento.

    Anexos reestructurados para responsables y encargados

    Los anexos de controles han sido reorganizados. El Anexo A consolida ahora los controles para responsables y encargados del tratamiento de PII en una estructura más clara (A.1, A.2 y A.3). La distinción entre las obligaciones del responsable y del encargado está más explícitamente definida, en alineación con el tratamiento que hace el RGPD de estos roles.

    Orientación ampliada sobre IA y entornos digitales

    La edición de 2025 ofrece mayor claridad sobre la gestión de datos personales en contextos de IA y toma de decisiones automatizada. Incluye referencias cruzadas a ISO/IEC 42001 (sistemas de gestión de IA) y orientación sobre controles de privacidad en entornos con procesamiento automatizado, elaboración de perfiles y decisiones asistidas por IA.

    Requisitos de gobernanza y liderazgo más robustos

    La Cláusula 7 incluye ahora requisitos más amplios sobre asignación de recursos, competencia en roles de apoyo a la privacidad y concienciación en toda la organización. La norma refuerza la expectativa de que la gobernanza de la privacidad esté integrada en el liderazgo y la estrategia organizativa, no delegada únicamente a un equipo de cumplimiento.

    Controles operativos y ciclo de vida de PII

    La Cláusula 8 introduce un enfoque más simplificado del control operativo a lo largo del ciclo de vida completo de PII, desde la recogida y el tratamiento hasta la supresión. Hace referencia a los Anexos A y B para los controles detallados y garantiza que los requisitos de privacidad se apliquen de forma coherente en las operaciones cotidianas.

    Lista de referencias normativas más reducida

    Al ser la norma autónoma, la Cláusula 2 (referencias normativas) contiene una lista más breve. La edición de 2025 referencia ISO/IEC 29100 (Marco de Privacidad) como su referencia normativa principal, en lugar de ISO 27001 e ISO 27002 como en la versión de 2019. Esto refleja la independencia de la norma manteniendo la alineación con el marco ISO de privacidad.

    Qué significa para las organizaciones ya certificadas

    Si tu organización está actualmente certificada bajo ISO/IEC 27701:2019, la transición no implica empezar desde cero. La base de tu SGIP sigue siendo válida. Lo que cambia es la estructura a la que alinearlo y las evidencias que hay que demostrar bajo las nuevas cláusulas y controles.

    Los pasos prácticos de la transición son:

    • Realizar una evaluación de brechas comparando la documentación actual del SGIP con la estructura y los requisitos de control de la versión de 2025.
    • Actualizar la Declaración de Aplicabilidad (SoA) para reflejar los anexos reestructurados y los controles nuevos o revisados.
    • Revisar la matriz de riesgo de privacidad para incorporar los escenarios tecnológicos actuales, incluyendo IA, tratamiento en la nube y flujos de datos transfronterizos.
    • Actualizar documentos de gobernanza, registros de procesos y programas de auditoría interna para alinearlos con la estructura revisada de cláusulas.
    • Garantizar que los roles y responsabilidades de responsable y encargado estén explícitamente documentados conforme al Anexo A actualizado.
    • Formar al personal relevante, equipos de cumplimiento, legal, seguridad y privacidad, sobre la estructura revisada y los nuevos requisitos.
    • Coordinar con tu organismo de certificación para programar la auditoría de transición antes del plazo de octubre de 2028.

    Las organizaciones ya certificadas en ISO 27001:2022 que cuentan con la versión 2019 de ISO 27701 como extensión deberían encontrar la transición relativamente sencilla, ya que muchos de los cambios estructurales en ISO 27701:2025 se basan en elementos ya presentes en ISO 27001:2022 e ISO 27002:2022.

    Plazo y calendario de transición

    ISO/IEC 27701:2025 fue publicada el 14 de octubre de 2025. El período de transición es de tres años, lo que otorga a las organizaciones certificadas bajo la edición de 2019 hasta octubre de 2028 para completar su auditoría de transición y alinearse con la nueva versión.

    La orientación de los organismos de acreditación (como IAF, UKAS, ENAC y otros) sobre los requisitos específicos de la auditoría de transición se esperaba en el plazo de uno a tres meses tras la publicación. Las organizaciones deben confirmar los requisitos con su organismo de certificación a medida que esa orientación se consolide.

    Para las organizaciones que planifican nuevas implementaciones, la edición de 2025 es la versión vigente y debe usarse como base para cualquier nuevo diseño de SGIP. No hay razón para construir sobre la versión de 2019.

    Errores habituales al preparar la transición

    Esperar a que el plazo esté próximo

    Tres años puede parecer mucho tiempo, pero las auditorías de transición deben programarse con los organismos de certificación, y los espacios buenos se llenan. Las organizaciones que empiezan con antelación también pueden integrar la transición en su ciclo habitual de auditoría de vigilancia, lo que reduce la interrupción y el coste.

    Tratar el cambio de norma autónoma como irrelevante si ya se tiene ISO 27001

    Aunque tu organización siga operando un SGIP y un SGSI integrados, los cambios estructurales de la edición de 2025 siguen requiriendo una evaluación de brechas y una actualización de la documentación. La capacidad autónoma no elimina el requisito de transición para las organizaciones actualmente certificadas.

    Actualizar la documentación sin actualizar la práctica

    La brecha más común en cualquier transición de sistema de gestión es actualizar la SoA y los documentos de política sin verificar que los controles operativos, los registros de formación y las decisiones de tratamiento del riesgo reflejan realmente los nuevos requisitos. Los auditores evalúan evidencias de implementación, no solo documentación.

    Ignorar los requisitos sobre IA y tratamiento automatizado

    Si tu organización usa herramientas de IA, toma de decisiones automatizada o elaboración de perfiles que implican datos personales, la orientación ampliada de la edición de 2025 sobre entornos de IA es directamente relevante para el alcance de tu SGIP. No abordar esto en la evaluación de brechas generará no conformidades.

    Cómo puede ayudar PrivaLex

    En PrivaLex Partners acompañamos a las organizaciones en todo el proceso ISO/IEC 27701, desde la evaluación inicial de brechas hasta la certificación y el mantenimiento continuo. Tanto si estás haciendo la transición desde la versión de 2019 como si estás construyendo un SGIP por primera vez sobre la norma de 2025, ofrecemos apoyo experto directo adaptado al tamaño, el sector y la postura de cumplimiento existente de tu organización.

    Nuestro soporte cubre:

    • Análisis de brechas respecto a ISO/IEC 27701:2025
    • Revisión y actualización de la Declaración de Aplicabilidad (SoA)
    • Documentación del SGIP alineada con la nueva estructura de cláusulas
    • Mapeo de obligaciones de responsable y encargado del tratamiento
    • Preparación de la auditoría interna
    • Formación del equipo sobre los requisitos revisados
    • Coordinación con tu organismo de certificación para la planificación de la auditoría de transición

    También ayudamos a las organizaciones a decidir si optar por un SGIP y un SGSI integrados bajo ISO 27001 e ISO 27701, o implementar ISO 27701:2025 como certificación autónoma. Para muchas empresas SaaS y organizaciones orientadas a datos en la UE, la vía autónoma abre una ruta más eficiente hacia la demostración de responsabilidad en privacidad sin la carga completa de ISO 27001.

    Contáctanos para una sesión con PrivaLex para evaluar tus requisitos de transición y trazar un plan práctico hacia el cumplimiento de ISO/IEC 27701:2025.

    Preguntas frecuentes (FAQ)

    ¿ISO/IEC 27701:2025 sigue requiriendo la certificación ISO 27001 previa?

    No. Este es el cambio más importante de la edición de 2025. ISO/IEC 27701:2025 es ahora una norma totalmente autónoma. Las organizaciones pueden implementar y certificar un SGIP sin tener la certificación ISO 27001. Si ya cuentas con ISO 27001 y quieres mantener un sistema integrado, eso sigue siendo posible, pero ya no es un requisito.

    ¿Cuál es el plazo de transición para las organizaciones certificadas bajo la versión de 2019?

    Octubre de 2028. ISO/IEC 27701:2025 fue publicada el 14 de octubre de 2025 y el período de transición es de tres años. Las organizaciones certificadas bajo la edición de 2019 deben completar su auditoría de transición y alinearse con la nueva versión antes de ese plazo.

    ¿Si ya tenemos ISO 27001 e ISO 27701:2019, qué debemos hacer concretamente?

    Necesitas realizar una evaluación de brechas respecto a la estructura y los controles de 2025, actualizar la SoA y la documentación relevante, revisar tu plan de tratamiento del riesgo para PII, formar a tu equipo sobre los requisitos revisados y programar una auditoría de transición con tu organismo de certificación. Las organizaciones ya alineadas con ISO 27001:2022 deberían encontrar la transición relativamente manejable, ya que la edición de 2025 se apoya en las mismas bases estructurales.

    ¿Es ISO/IEC 27701:2025 relevante para el cumplimiento del RGPD?

    Sí, directamente. ISO/IEC 27701 se alinea estrechamente con los requisitos de responsabilidad proactiva del RGPD. El marco de la norma para documentación, gestión de riesgos, obligaciones de responsable y encargado, derechos de los interesados y respuesta ante brechas se corresponde con lo que el RGPD exige a las organizaciones demostrar. La certificación no constituye en sí misma el cumplimiento legal del RGPD, eso requiere un análisis jurídico de tus actividades de tratamiento específicas, pero proporciona evidencias sólidas y auditables de que tu gobernanza de privacidad es sistemática y madura.

    ¿Podemos certificar ISO/IEC 27701:2025 junto con SOC 2 en lugar de ISO 27001?

    Sí. Al ser ISO/IEC 27701:2025 autónoma, las organizaciones que cuentan con SOC 2 para seguridad pueden añadir ISO 27701 para cubrir privacidad sin necesidad de incorporar un programa completo de ISO 27001. Esto es especialmente relevante para empresas SaaS y organizaciones tecnológicas con requisitos de seguridad orientados principalmente al mercado estadounidense que también necesitan demostrar cumplimiento de privacidad a compradores de la UE. Los dos marcos abordan dominios diferentes, seguridad y privacidad, y se complementan sin duplicación significativa.

    ¿Cuánto tarda una nueva implementación de ISO/IEC 27701:2025?

    Para una nueva implementación autónoma, la mayoría de las organizaciones deben prever entre tres y seis meses desde una evaluación de brechas estructurada hasta la emisión del certificado, en función del tamaño organizativo, el volumen y la complejidad del tratamiento de datos personales, y si ya existen documentación y controles de privacidad. Para las organizaciones que hacen la transición desde la versión de 2019 con un SGIP en funcionamiento, el plazo puede ser menor. PrivaLex puede ofrecer una estimación más precisa tras una evaluación inicial de tu situación actual.

    Próximo paso

    Tanto si gestionas una certificación ISO 27701 existente como si estás considerando la vía autónoma por primera vez, o si intentas entender cómo la actualización de 2025 afecta a tu programa de cumplimiento general, el punto de partida adecuado es una evaluación de brechas estructurada.

    Programa una sesión con PrivaLex Partners y te ayudaremos a entender exactamente dónde estás y cómo debe ser tu plan de transición o implementación. Contacta con nosotros aquí.

    Foto del avatar

    Alberto Navas

    Alberto specializes in information security and privacy certifications, bringing extensive hands-on experience implementing and internally auditing frameworks such as ISO 27001, ISO 22301, ENS, and other cybersecurity and resilience standards. At PrivaLex Partners, he helps companies strengthen their security posture and achieve certification efficiently, without losing sight of business continuity. Alberto is known for his practical, structured approach: breaking down complex technical requirements into clear, manageable steps that support both compliance goals and day-to-day operations.