¿Por qué deberían los equipos de compras preocuparse por la norma ISO 27701?
Toda organización que comparte datos personales con un proveedor asume un riesgo. Las normativas de protección de datos (RGPD, LGPD, PDPA y otras) responsabilizan a los responsables del tratamiento de las prácticas de privacidad de sus encargados del tratamiento. Una violación de datos por parte de un proveedor se convierte en una violación de datos por parte de la organización a ojos de los reguladores y las personas afectadas. Comprender la costo del incumplimiento Esto justifica la necesidad de una evaluación rigurosa de los proveedores.
La certificación ISO 27701 proporciona una señal independiente y auditable de que un proveedor ha implementado un sistema estructurado de gestión de la privacidad de la información. Sin embargo, no todas las certificaciones son iguales: el alcance, la acreditación y el cumplimiento continuo son factores importantes. Esta guía le ayudará a evaluar qué es lo que realmente está obteniendo.
¿Qué aspectos se deben revisar en un certificado ISO 27701?
Un certificado ISO 27701 es un documento formal emitido por un organismo de certificación tras una auditoría satisfactoria. Esto es lo que debe verificar:
| Elemento de certificado | Que comprobar | Por qué es importante |
|---|---|---|
| Organismo de certificación | ¿Está el organismo acreditado por un organismo de acreditación nacional reconocido (por ejemplo, UKAS, ANAB, DAkkS)? Consulte nuestra guía sobre Elegir un organismo de certificación | Las certificaciones no acreditadas tienen menos peso y pueden no cumplir con el rigor que exigen los organismos reguladores. |
| Versión estándar | ¿Hace referencia a la norma ISO 27701:2019 o a la ISO 27701:2025? | La edición de 2025 es la versión actual. Los proveedores de la edición de 2019 deberían tener una plan de transición. |
| Declaración de alcance | ¿El alcance del contrato abarca los servicios y el procesamiento de datos relevantes para el mismo? | Un alcance limitado puede excluir las actividades de procesamiento específicas en las que usted confía. |
| Rol (controlador/encargado del tratamiento) | ¿El proveedor está certificado como controlador, procesador o ambos de información de identificación personal (PII)? | Asegúrese de que el rol certificado coincida con su relación contractual. |
| Fechas de validez | ¿El certificado está vigente? ¿Cuándo es la próxima auditoría de vigilancia? | Los certificados caducados o vencidos no ofrecen ninguna garantía. |
| Declaración de aplicabilidad | ¿Qué controla desde? anexo A ¿Están incluidos o excluidos? | Los controles excluidos pueden indicar deficiencias relevantes para sus requisitos de procesamiento de datos. |
¿Cómo se evalúa si el alcance es adecuado?
El alcance es el elemento más importante a evaluar. Un proveedor puede tener un certificado ISO 27701 válido, pero haberlo definido de forma restrictiva, cubriendo solo una parte de su negocio o un subconjunto de sus servicios.
Preguntas para evaluar la adecuación del alcance
- ¿El alcance de la certificación cubre explícitamente el/los servicio(s) que está contratando?
- ¿Incluye todas las ubicaciones donde se procesarán, almacenarán o accederán sus datos?
- ¿Cubre todo el ciclo de vida de los datos: recopilación, procesamiento, almacenamiento, transferencia y eliminación?
- ¿Los subprocesadores utilizados por el proveedor están incluidos en el alcance o están excluidos?
- Si el proveedor opera en varias jurisdicciones, ¿el alcance abarca todas las jurisdicciones pertinentes?
Si la respuesta a cualquiera de estas preguntas es "no" o "no está clara", necesita obtener más garantías, ya sea mediante documentación adicional del proveedor o mediante su propia diligencia debida.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué preguntas debería hacer a los proveedores certificados?
Más allá del certificado en sí, un conjunto de preguntas específicas le ayuda a comprender el nivel real de madurez del proveedor en materia de privacidad:
Preguntas sobre el sistema de gestión
- ¿Cuándo fue su última auditoría de vigilancia o recertificación y cuáles fueron los resultados?
- ¿Cuántas no conformidades se identificaron en su auditoría más reciente? ¿Cómo se resolvieron?
- ¿Con qué frecuencia realiza auditorías internas de su PIMS?
- ¿Quién es su representante de gestión en materia de privacidad y cómo reporta a la alta dirección?
- ¿Podría compartir los resultados de su evaluación de gestión más reciente (con la información confidencial eliminada si es necesario)?
Cuestiones operativas
- ¿Cómo gestionan las solicitudes de acceso de los interesados a los datos procesados en nuestro nombre?
- ¿Cuál es su proceso y cronograma de notificación de violaciones de seguridad?
- ¿Cómo gestionan los cambios en los subprocesadores y cómo se nos notificará?
- ¿Qué procesos de retención y eliminación de datos se aplican a nuestros datos al finalizar el contrato?
- Puedes facilitar evidencia de su evaluación de riesgos de privacidad más reciente?
Preguntas técnicas
- ¿Cómo se aíslan nuestros datos de los datos de otros clientes?
- ¿Qué estándares de cifrado se aplican en reposo y en tránsito?
- ¿Cómo se controla y registra el acceso a nuestros datos?
- ¿Dónde se almacenan físicamente nuestros datos y se realizan transferencias fuera de las jurisdicciones que hemos especificado?
¿Cuáles son las señales de alerta en las evaluaciones de privacidad de los proveedores?
No todos los proveedores que afirman proteger su privacidad son dignos de confianza. Presta atención a estas señales de advertencia:
| bandera roja | Lo que sugiere |
|---|---|
| Certificado de un organismo no acreditado. | La auditoría puede carecer de rigor. La acreditación garantiza que el organismo de certificación cumpla con los estándares internacionales de competencia e imparcialidad. |
| El alcance no cubre sus servicios. | Es posible que el proveedor haya certificado otra parte de su negocio. Sus datos podrían no beneficiarse de la certificación PIMS. |
| Reticencia a compartir la Declaración de aplicabilidad | El documento de declaración de análisis (SoA) muestra qué controles están incluidos en el alcance. La negativa a compartirlo (incluso con información censurada) puede indicar exclusiones incómodas. |
| No existe un proceso claro de notificación de incumplimientos. | Si el proveedor no puede articular su cronograma de respuesta a incidentes y su ruta de escalamiento, es posible que su sistema PIMS sea inmaduro. |
| Todavía en ISO 27701:2019 sin plan de transición. | La edición de 2025 introduce cambios significativos. Los proveedores que no cuenten con un plan de transición corren el riesgo de perder su certificación cuando se retire la edición de 2019. |
| No se pueden nombrar los subprocesadores | Si un proveedor no puede proporcionar una lista actualizada de subprocesadores, es posible que no cuente con la supervisión requerida por la norma. |
| No hay evidencia de mejora continua | Un sistema PIMS que se configuró para la auditoría pero que no se gestiona activamente ofrece una seguridad cada vez menor con el paso del tiempo. |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo debería integrar la norma ISO 27701 en su marco de adquisiciones?
La certificación ISO 27701 funciona mejor como parte de un proceso estructurado de evaluación de proveedores, no como una casilla de verificación aislada:
Enfoque de evaluación por niveles
- Nivel 1 (alto riesgo): Proveedores que procesan grandes volúmenes de información personal identificable sensible. Se requiere la certificación ISO 27701, revisar el estado de cuenta, realizar una debida diligencia exhaustiva y programar reevaluaciones periódicas.
- Nivel 2 (riesgo medio): Proveedores con acceso a información de identificación personal (PII) pero con un alcance de procesamiento limitado. Se acepta la certificación ISO 27701 como evidencia principal, complementada con preguntas específicas sobre el alcance y la respuesta a incidentes.
- Nivel 3 (bajo riesgo): Proveedores con acceso mínimo a información personal identificable. La certificación es una señal positiva, pero puede que no sea obligatoria. Concéntrese en las protecciones contractuales.
Consideraciones contractuales
Utilice la certificación ISO 27701 del proveedor como base contractual, pero refuércela con:
- Requisito de mantener la certificación durante toda la vigencia del contrato.
- Obligación de notificarle cualquier cambio en la certificación (reducciones del alcance, no conformidades, suspensiones).
- Cláusulas de derecho a auditoría para situaciones en las que el certificado por sí solo es insuficiente
- Plazos definidos para la notificación de incumplimientos alineados con sus obligaciones regulatorias.
- Requisitos de eliminación de datos en caso de rescisión del contrato, con evidencia
¿Cómo fortalece su propia certificación ISO 27701 sus procesos de adquisición?
La contratación es una calle de doble sentido. Lograr su propio ISO 27701: certificación 2025 Demuestra a los proveedores (y a los organismos reguladores) que usted se toma en serio la privacidad. Además, proporciona un marco estructurado para gestionar el riesgo de los proveedores como parte de su sistema de gestión de información personal (PIMS).
En un radio de SGSI.onlineLa gestión de proveedores se integra directamente con su PIMS, vinculando las evaluaciones de proveedores con los riesgos, los controles y los resultados de las auditorías en un único sistema. Esto convierte la evaluación de la privacidad de los proveedores en un proceso gestionado y repetible, en lugar de un ejercicio puntual.
¿Por qué elegir ISMS.online para la gestión de adquisiciones de privacidad?
- Gestión integrada de proveedores: Evalúe, supervise y gestione el cumplimiento de la privacidad de los proveedores dentro de su PIMS, no en una hoja de cálculo aparte.
- Marco de trabajo ISO 27701:2025 predefinido: La función requisitos de la norma Están mapeados y listos, incluidos los controles relacionados con los proveedores.
- Evaluaciones de proveedores vinculadas al riesgo: Vincula los riesgos de los proveedores al registro de riesgos de tu organización para que las deficiencias en la privacidad de los proveedores sean visibles a nivel directivo.
- Rastro de evidencia: Almacene los certificados, los estados de cuenta, los registros de diligencia debida y la correspondencia en una ubicación auditable.
- Ciclos de revisión automatizados: Configure recordatorios para el vencimiento de los certificados, las fechas de las auditorías de vigilancia y las reevaluaciones periódicas.
- Apoyo a ambas partes: Tanto si está evaluando proveedores como si se está preparando para su propia certificación, la plataforma cubre ambos escenarios.
- Enfoque colaborativo: Comparta directamente desde la plataforma las pruebas de cumplimiento pertinentes con clientes y socios.
¿Está listo para reforzar su evaluación de privacidad en materia de adquisiciones? Solicitar demostración para ver como SGSI.online Integra la evaluación de proveedores en tu sistema de gestión de la privacidad.
Preguntas Frecuentes
¿Deberíamos exigir la certificación ISO 27701 a todos los proveedores?
No necesariamente. Un enfoque basado en el riesgo es más práctico. Exija la certificación a los proveedores de alto riesgo que procesan volúmenes significativos de información personal identificable (IPI). Para los proveedores de menor riesgo, utilice la certificación como un indicador positivo, junto con las protecciones contractuales y las preguntas de debida diligencia específicas.
¿Cuál es la diferencia entre las normas ISO 27701:2019 y 2025 a efectos de contratación pública?
La edición de 2025 se puede lograr como una certificación independiente sin requerir ISO 27001. También incluye controles actualizados y una mejor alineación con las regulaciones de privacidad actuales. Los proveedores certificados según la edición de 2019 deben tener una documentación plan de transición.
¿Puede un proveedor estar certificado según la norma ISO 27701 pero seguir teniendo deficiencias en materia de privacidad?
Sí. La certificación ofrece garantías dentro de su alcance definido, pero no garantiza la perfección. Un proveedor puede tener un alcance limitado que excluya ciertos servicios, o su PIMS puede no cubrir todas las actividades de procesamiento relevantes para su contrato. Por ello, es fundamental revisar la declaración de alcance y la Declaración de Aplicabilidad.
¿Con qué frecuencia debemos reevaluar a los proveedores certificados?
Como mínimo, verifique la validez del certificado anualmente (en consonancia con los ciclos de auditoría de vigilancia). Para los proveedores de alto riesgo, realice una reevaluación más detallada cada 12 a 18 meses, revisando los cambios en el alcance, los resultados de las auditorías, el historial de incidentes y las actualizaciones de los subprocesadores. SGSI.online Puedes automatizar estos recordatorios de revisión dentro de tu PIMS.
¿Qué ocurre si un proveedor se niega a compartir su Declaración de Aplicabilidad?
Esto es una señal de alerta importante. El SoA es un documento de auditoría estándar y compartirlo (con la información confidencial eliminada si es necesario) es una práctica común. Si un proveedor se niega, solicite un resumen de los controles excluidos y la justificación de cada exclusión. Si aún así no hay transparencia, considere si el proveedor cumple con su nivel de tolerancia al riesgo.
