ISO/IEC 27701 — Privacy Information Management System Certification

Definición

ISO/IEC 27701:2019 (actualizada en 2025 como norma independiente) es la norma internacional para los sistemas de gestión de la información de privacidad (PIMS). Amplía la ISO/IEC 27001 incorporando requisitos y controles específicos de privacidad para el tratamiento de datos personales (PII), proporcionando un marco de sistema de gestión certificable que operacionaliza el cumplimiento del RGPD, la gestión de los derechos de los interesados y la gobernanza de la privacidad como una práctica organizativa auditable.

La norma define requisitos y directrices para establecer, implementar, mantener y mejorar continuamente un PIMS. Incluye controles tanto para los responsables del tratamiento (organizaciones que determinan los fines y medios del tratamiento) como para los encargados del tratamiento (organizaciones que procesan datos personales en nombre de los responsables). El Anexo F proporciona una correspondencia directa con los artículos del RGPD, convirtiéndolo en el camino más estructurado para pasar de principios de privacidad a prácticas documentadas y certificables.

Desde octubre de 2025, ISO/IEC 27701 es certificable como norma independiente; ISO/IEC 27001 ya no es un prerrequisito obligatorio. Esto hace que ISO 27701 sea directamente accesible para organizaciones que necesitan certificación en gestión de la privacidad sin requerir la inversión completa en un sistema de gestión de la seguridad de la información conforme a ISO 27001.

Por qué importa operativamente

¿Por qué es importante la norma ISO/IEC 27701?

ISO 27701 es relevante para la gobernanza de la IA porque los sistemas de inteligencia artificial que procesan datos personales generan obligaciones de privacidad que van más allá del cumplimiento general del RGPD. Los conjuntos de datos de entrenamiento que contienen información personal requieren bases legales documentadas, controles de limitación de propósito y procedimientos para la gestión de los derechos de los interesados. Los sistemas de IA que toman decisiones sobre individuos requieren mecanismos de transparencia. Además, las inferencias derivadas de datos personales pueden constituir, en sí mismas, datos personales con implicaciones de privacidad.

La certificación independiente introducida en 2025 elimina la principal barrera para la adopción de ISO 27701: las organizaciones ya no necesitan implementar ni certificar ISO 27001 antes de abordar ISO 27701. Para aquellas organizaciones cuyo principal motor de cumplimiento es la privacidad (RGPD, normativas estatales de privacidad) y no la seguridad de la información en sentido amplio, ISO 27701 representa una vía más directa y eficiente.

Marco regulatorio

Marco regulatorio

Framework Rol de ISO 27701
GDPR El Anexo F de ISO 27701 mapea directamente los controles de la norma a los requisitos del RGPD. La certificación ISO 27701 proporciona evidencia estructurada de cumplimiento de los principios, derechos y obligaciones del Reglamento.
EU AI Act Para sistemas de IA de alto riesgo que procesan datos personales, la combinación ISO 42001 + ISO 27701 cubre la gobernanza de IA y la privacidad bajo marcos certificados complementarios.
ISO/IEC 27001 ISO 27701 es extendible desde ISO 27001 pero ya no lo requiere como prerrequisito desde octubre 2025. Para organizaciones con ambos, la integración bajo Annex SL es eficiente.
CCPA / US State Privacy Laws ISO 27701 se alinea con los principios centrales de las leyes de privacidad estatales de EE.UU., siendo útil como marco de privacidad para operaciones multinacionales.

Cómo lo evalúa Zertia

¿Cómo audita Zertia la norma ISO/IEC 42001?

Zertia está en proceso de obtener la certificación ISO/IEC 27001 con acreditación de ANAB y ENAC. Para las organizaciones que desean construir un marco integral de gobernanza de la IA, Zertia puede diseñar programas de certificación combinados que cubran ISO 27001 (seguridad), ISO 27701 (privacidad) e ISO 42001 (gestión de IA), mediante un proceso de auditoría integrado que reduce duplicidades, plazos y costes, al tiempo que proporciona una cobertura completa.

Zertia te certifica tu empresa en la norma ISO 27701 – ENLACE: https://zertia.ai/es/iso-27701/

Definiciones que se sostienen ante un auditor.

¿Este término aplica a tu proyecto de certificación? Hablemos 30 min sin compromiso.