Todo lo que necesita saber sobre la actualización de la norma ISO 27701:2025

Por Christie Rae • 26 November 2025

La Organización Internacional de Normalización (ISO) publicó la versión actualizada Norma ISO/IEC 27701 para la gestión de la información de privacidad en octubre de 2025. Anteriormente una extensión de ISO 27001, y la ISO 27002, la actualización ISO 27701:2025 establece ISO 27701, como estándar independiente.

En este blog, exploramos las diferencias entre ISO 27701:2025 y su iteración de 2019 y analizamos qué significan para su negocio.

¿Qué ha cambiado en la norma ISO 27701:2025?

El cambio de la norma ISO 27701 de extensión a estándar por derecho propio viene acompañado de un nuevo título; Seguridad de la información, ciberseguridad y protección de la privacidad: sistemas de gestión de la información de privacidad, lo que refleja su nuevo estatus. Esto reemplaza el título anterior, Técnicas de seguridad: ampliación a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información privada.

Los cambios de nivel superior incluyen:

La ISO 27701 es ahora un estándar en lugar de una extensión de la ISO 27001
Se han añadido las cláusulas de gestión 4.1 a 10.2
Los anexos han sido renombrados y numerados nuevamente.
Los controles de privacidad siguen siendo los mismos, con los mismos requisitos
Se ha añadido un nuevo anexo que contiene 29 controles de seguridad de la información
Los nuevos controles de seguridad de la información sustituyen la cláusula 6 de la norma ISO 27701:2019.

Exploraremos estos cambios con más profundidad.

Reestructuración de cláusulas de ISO 27701:2019 a ISO 27701:2025

La norma ha sido reestructurada y se han introducido las cláusulas de gestión 4.1 a 10.2 de acuerdo con las normas ISO 27001 e ISO 27002.

La versión anterior de la norma, ISO 27701:2019, incluía cláusulas que detallaban los requisitos específicos de PIMS (Sistema de gestión de información de privacidad) en relación con ISO 27001, requisitos específicos de PIMS en relación con ISO 27002, orientación adicional para los controladores de PII (información de identificación personal) y orientación adicional para los procesadores de PII.

Cláusula 1, ámbito de aplicación, ahora se refiere a los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de información de privacidad (PIMS) independiente en lugar de construir un PIMS como una extensión de ISO 27001 e ISO 27002.

Cláusula 2, referencias normativas, Contiene una lista de referencias más corta, debido a que la norma ISO 27701 ahora existe como estándar en lugar de como extensión. La actualización de 2025 solo hace referencia a la norma ISO/IEC 29100. Tecnología de la información — Técnicas de seguridad — Marco de privacidad.

Las referencias eliminadas de la edición de 2019 incluyen:

ISO/IEC 27000, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Descripción general y vocabulario
ISO/IEC 27001:2013, Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos
ISO/IEC 27002:2013, Tecnología de la información — Técnicas de seguridad — Código de prácticas para controles de seguridad de la información.

Cláusula 3, términos, definiciones y abreviaturas, Se amplía debido al alcance más amplio de la norma y ahora incluye referencias a objetivos, partes interesadas, etc., de acuerdo con otras normas ISO.

Cláusula 4 es ahora contexto de la organización. Esta cláusula exige que las organizaciones determinen los aspectos internos y externos relevantes para su capacidad de lograr los resultados previstos de su SGI. También deben determinar las necesidades y expectativas de las partes interesadas, determinar el alcance de su SGI y, posteriormente, establecerlo, implementarlo, mantenerlo y mejorarlo.

Cláusula 5 es ahora liderazgo, que reemplaza los requisitos específicos de PIMS relacionados con la norma ISO 27001 de la norma de 2019. Esta cláusula está diseñada para garantizar que la alta dirección demuestre liderazgo y compromiso con su PIMS, establezca una política de privacidad adecuada y delegue roles, responsabilidades y autoridades de forma adecuada.

Cláusula 6 es ahora planificación, Sustituye los requisitos específicos del PIMS relacionados con la norma ISO 27002 de la norma de 2019. Esta cláusula se centra en las acciones para abordar los riesgos y las oportunidades, incluyendo la evaluación y el tratamiento de los riesgos de privacidad. Las organizaciones también deben establecer objetivos de privacidad y planificar cómo alcanzarlos, así como planificar los cambios en el PIMS.

Cláusula 7 es ahora apoyo, Sustituye la guía adicional ISO 27002 para controladores de información personal identificable (PII). Esta cláusula exige que las organizaciones garanticen la disponibilidad de recursos, competencia, conocimiento, comunicación e información documentada adecuados para el establecimiento, la implementación, el mantenimiento y la mejora continua del PIMS.

Cláusula 8 es ahora Inteligente, que sustituye la guía adicional ISO 27002 para el tratamiento de datos personales (PII). Esta cláusula exige a las organizaciones planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de cumplimiento. También exige a las organizaciones realizar evaluaciones de riesgos de privacidad e implementar tratamientos para dichos riesgos.

Cláusula 9, evaluación del desempeño Es una nueva incorporación a la norma. Esta cláusula se centra en el seguimiento, la medición, el análisis y la evaluación, incluyendo auditorías internas y revisiones por la dirección.

Cláusula 10, mejora, es también una nueva incorporación al estándar. Exige a las organizaciones que tomen medidas para mejorar continuamente su PIMS.

Cláusula 11, más información sobre los anexos, es una nueva incorporación y proporciona información sobre los Anexos C, D, E y F.

Cambios en los Anexos

Los anexos de la norma ISO 27701 han cambiado de nombre y numeración, pero los controles de privacidad se mantienen y contienen los mismos requisitos. El Anexo A se ha consolidado en uno solo, cuando anteriormente eran dos anexos separados para los encargados del tratamiento y los responsables del tratamiento de datos de identificación personal (PII).

Sin embargo, se han añadido nuevos controles de seguridad de la información.

Nuevos controles de seguridad de la información

Los 29 nuevos controles de seguridad de la información se encuentran en la Tabla A.3: Objetivos de control y controles para controladores y procesadores de PII. Los controles incluyen:

Políticas de seguridad de la información.
Clasificación de la información
Gestión de identidad
Derechos de acceso
Abordar la seguridad de la información en los acuerdos con proveedores
Concientización, educación y capacitación sobre seguridad de la información.

Y mucho más.

Ya tengo la certificación ISO 27701, ¿qué significa esto para mí?

La fecha límite para la transición a la nueva norma ISO 27701 es octubre de 2028. Sin embargo, muchos de los controles de seguridad de la información de la nueva actualización de la norma ISO 27701:2025 están directamente alineados con los requisitos de la norma ISO 27001. Por lo tanto, las organizaciones que ya cuentan con la certificación ISO 27701 como extensión de la norma ISO 27001 deberían encontrar la transición a la norma ISO 27701:2025 como norma independiente relativamente fluida.

Fortalezca su política de privacidad de datos hoy mismo

La privacidad de datos es un elemento clave del ciclo de cumplimiento de IO: seguridad de la información, privacidad de datos y gobernanza de la IA, todo lo cual impulsa la resiliencia organizacional. Las organizaciones que integran la ciberresiliencia se consolidan rápidamente como líderes en su sector y logran una ventaja competitiva. La norma ISO 27701 actualizada apoya la creación de un sistema de gestión de la información sobre privacidad y la mejora integral de las prácticas de privacidad de datos.

La plataforma y las herramientas de IO están listas para brindarle apoyo ahora, desde ayudarle a comprender los cambios, verificar el impacto en los objetivos de privacidad de datos de su organización, brindarle orientación para la implementación y la transición de su certificación. Desbloquee su ventaja en cumplimiento normativo hoy mismo. ¡Reserva tu demostración!

cristian rae

Christie es especialista en marketing de contenidos en ISMS.online. Con más de siete años de experiencia, su objetivo es escribir contenido informativo y atractivo y ha trabajado en una variedad de industrias que incluyen ciberseguridad, software como servicio, tecnología y productos farmacéuticos.