¿Por qué se revisó la norma ISO 27701?
La norma ISO 27701:2019 se publicó como una extensión de las normas ISO 27001 e ISO 27002, añadiendo requisitos y controles específicos de privacidad a un sistema de gestión de la seguridad de la información ya existente. Si bien este enfoque tenía sus ventajas, generó problemas prácticos: las organizaciones necesitaban la certificación ISO 27001 antes de poder certificarse según la ISO 27701, los controles de privacidad estaban dispersos en varias cláusulas y la estructura no se ajustaba claramente a la forma en que las organizaciones gestionan la privacidad en la práctica.
La revisión de 2025 aborda todos estos problemas. ISO 27701:2025 es una estándar del sistema de gestión independiente con su propio conjunto completo de requisitos en las Cláusulas 4 a 10, un rediseñado anexo A que contiene 78 controles de privacidad claramente categorizados y nuevos anexos de mapeo que conectan el estándar con GDPR, ISO 29100 y su predecesora de 2019. Para obtener una descripción general completa de los cambios, consulte nuestra guía sobre Novedades de la norma ISO 27701:2025.
¿Cómo ha cambiado la estructura?
El cambio más fundamental es que la norma ISO 27701:2025 ya no es una norma de extensión. Es una norma completa e independiente para sistemas de gestión de información de privacidad (PIMS, por sus siglas en inglés).
| Aspecto | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Tipo estándar | Extensión a ISO 27001/ISO 27002 | Estándar de sistema de gestión independiente |
| Requisito previo | Se requiere la certificación ISO 27001. | No se requiere ningún requisito previo; certificación independiente posible |
| cláusulas del sistema de gestión | Complemento de las cláusulas 4 a 10 de la norma ISO 27001. | Contiene sus propias cláusulas completas del 4 al 10. |
| Ubicación de los controles de privacidad | Cláusulas 7 (controlador) y 8 (procesador) con controles integrados | Anexo A con tres tablas: A.1 Controlador, A.2 Procesador, A.3 Compartido |
| Guía de implementación | Intercalados con controles normativos | Separado en el Anexo B (normativo) |
| Evaluación del riesgo | Proceso ampliado de evaluación de riesgos de seguridad de la información según la norma ISO 27001 | Evaluación dedicada del riesgo de privacidad en Cláusula 6 |
| Declaración de aplicabilidad | Se amplió el estándar de aplicación ISO 27001. | Declaración de análisis independiente que abarca los controles del Anexo A |
| Cambio climático | No abordado | Incluido en Cláusulas 4.1 y 4.2 consideraciones de contexto |
| LEED | Siempre combinado con ISO 27001 | Independiente o combinado, a elección de la organización. |
Este cambio estructural significa que las organizaciones que buscan la certificación de privacidad ya no necesitan implementar primero un sistema completo de gestión de seguridad de la información. Para obtener más detalles sobre lo que implica la certificación independiente, consulte nuestra guía de certificación independiente.
Cláusulas 4 a 10: Requisitos del sistema de gestión independiente
En la edición de 2019, las cláusulas 5 a 8 complementaron las cláusulas correspondientes de la norma ISO 27001. La edición de 2025 contiene cláusulas totalmente independientes:
- Cláusula 4 (Contexto) — Establece el alcance del PIMS de forma independiente, incluido el nuevo requisito de considerar la relevancia del cambio climático.
- Cláusula 5 (Liderazgo) — Define las responsabilidades de la alta dirección en materia de privacidad, incluyendo una política de privacidad y la asignación de roles.
- Cláusula 6 (Planificación) — Introduce un proceso específico de evaluación y tratamiento de riesgos de privacidad, independiente de la gestión de riesgos de seguridad de la información.
- Cláusula 7 (Apoyo) — Abarca recursos, competencia, concienciación, comunicación e información documentada para el PIMS
- Cláusula 8 (Operación) — Planificación operativa y control de los procesos de privacidad
- Cláusula 9 (Evaluación del desempeño) — Seguimiento, medición, auditoría interna y revisión de la gestión del PIMS
- Cláusula 10 (Mejora) — Gestión de no conformidades, acciones correctivas y mejora continua
Esto significa que una organización puede construir y certificar un Sistema completo de Gestión de Información de Privacidad sin hacer referencia a la norma ISO 27001 en absoluto. Para obtener una explicación detallada, consulte nuestra Guía de requisitos de la norma ISO 27701:2025.
¿Cómo se ha reorganizado la estructura de control del Anexo A?
La edición de 2019 incorporó controles de privacidad en las cláusulas 7 y 8, mezclando requisitos normativos con directrices de implementación. Esto dificultó distinguir entre lo obligatorio y lo consultivo, y complicó la elaboración de una Declaración de Aplicabilidad.
ISO 27701:2025 adopta un enfoque completamente diferente. Todos los controles de privacidad ahora están en anexo A, organizado en tres tablas claras:
| Tabla | <b></b><b></b> | Número de controles | Se aplica a |
|---|---|---|---|
| Cuadro A.1 | Controles del controlador PII | 31 | Organizaciones que actúan como responsables del tratamiento de datos |
| Cuadro A.2 | Controles del procesador de PII | 18 | Organizaciones que actúan como encargados del tratamiento de datos |
| Cuadro A.3 | Controles compartidos | 29 | Todas las organizaciones, independientemente de su función. |
Las directrices de implementación se han trasladado al Anexo B, que es normativo y utiliza el término «debería» para proporcionar recomendaciones de implementación. Esta separación facilita la auditoría del estándar y simplifica su implementación para las organizaciones, ya que permite identificar con precisión qué controles son obligatorios y qué directrices los respaldan.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué pasó con los más de 150 controles de la edición de 2019?
La edición de 2019 incluía controles distribuidos en las cláusulas 6, 7 y 8 (aproximadamente 49 controles específicos de privacidad en las cláusulas 7 y 8, además de más de 90 subcláusulas de seguridad relacionadas con la información de identificación personal en la cláusula 6), muchos de los cuales eran extensiones de los controles de la norma ISO 27002. La edición de 2025 cuenta con 78 controles en el Anexo A. Esto no representa una reducción del alcance. Por el contrario, los controles se han consolidado, reestructurado y, en muchos casos, combinado donde existía superposición.
Cambios clave en el panorama del control:
- Consolidación — Los controles relacionados que estaban distribuidos en varias cláusulas en 2019 se han fusionado en controles únicos e integrales en 2025.
- Categorización más clara — Los controles ahora se asignan explícitamente a categorías de controlador, procesador o compartidas, eliminando la ambigüedad.
- Se eliminó la duplicación. La edición de 2019 contenía controles que duplicaban los requisitos de la norma ISO 27002. La edición de 2025 cuenta con su propio conjunto de controles específicos, eliminando así la superposición innecesaria.
- Nuevos controles — Algunas áreas han obtenido controles nuevos o significativamente ampliados, en particular en lo que respecta a la toma de decisiones automatizada (A.1.3.11 Toma de decisiones automatizada), desidentificación y anonimización (A.1.4.6 Desidentificación y eliminación), y prácticas de desarrollo seguras (A.3.27 Ciclo de vida de desarrollo seguro)
Para una correspondencia detallada entre los conjuntos de control de 2019 y 2025, la norma ISO 27701:2025 incluye: Anexo f, que proporciona una tabla de correspondencia completa que muestra cómo cada control de 2019 se asigna a su equivalente de 2025.
¿Qué nuevos anexos se han añadido?
La edición de 2025 introduce anexos cartográficos actualizados y un anexo completamente nuevo (Anexo F) junto con los Anexos A y B reestructurados:
| Anexo | Título | Tipo | Propósito |
|---|---|---|---|
| A | Controles de privacidad | Reglamento | 78 controles obligatorios en 3 tablas (controlador, procesador, compartido) |
| B | Guía de implementación | Reglamento | Guía detallada para la implementación de cada control del Anexo A |
| C | Mapeo a ISO/IEC 29100 | Informativo | Los controles se vinculan con los 11 principios de privacidad de la norma ISO 29100. |
| D | Mapeo con el RGPD | Informativo | Asigna los controles a los artículos pertinentes del RGPD para garantizar el cumplimiento. |
| E | Mapeo a ISO 27018 e ISO 29151 | Informativo | Correspondencia con las normas de privacidad en la nube y protección de datos personales. |
| F | Correspondencia con la norma ISO 27701:2019 | Informativo | Mapeo completo entre los controles de 2019 y 2025 para la planificación de la transición |
La inclusión de Anexo D La correspondencia con el RGPD es especialmente importante para las organizaciones europeas, ya que proporciona una referencia oficial sobre cómo los controles de la norma ISO 27701 se ajustan a artículos específicos del RGPD. Esto facilita considerablemente el uso de la certificación ISO 27701 como prueba de cumplimiento del RGPD.
¿Cuáles son las principales diferencias prácticas para su implementación?
Más allá de los cambios estructurales, existen varias diferencias prácticas que afectan la forma en que las organizaciones implementan el estándar:
- Evaluación de riesgos de privacidad — La cláusula 6 ahora exige un proceso de evaluación de riesgos de privacidad específico, separado de la evaluación de riesgos de seguridad de la información. Este debe abordar específicamente los riesgos para los titulares de información personal identificable (interesados), no solo los riesgos para la organización.
- Declaración de aplicabilidad — Debe elaborar un SoA para los controles del Anexo A, documentando qué controles son aplicables, su justificación para incluir o excluir cada uno y el estado de implementación. Este es ahora un requisito explícito, no heredado de la norma ISO 27001.
- Cambio climático — Tras la modificación de 2024 de todas las normas ISO sobre sistemas de gestión, las cláusulas 4.1 y 4.2 ahora exigen que las organizaciones consideren si el cambio climático es relevante para el PIMS. Se trata de una consideración breve, no de una evaluación ambiental detallada.
- Registro de auditoría más claro — La separación de los controles normativos (Anexo A) de la guía de implementación (Anexo B) simplifica la preparación de la auditoría. Los auditores evalúan según el Anexo A; el Anexo B proporciona el contexto.
- Documentación simplificada — Dado que la norma es autónoma, las organizaciones no necesitan consultar las normas ISO 27001 e ISO 27002 para comprender sus obligaciones. Todo está en un solo documento.
Impacto en la documentación existente
Las organizaciones que transitan del año 2019 al 2025 deben prever la actualización de varios documentos clave:
- Política de privacidad — Debe reflejar el alcance del PIMS independiente en lugar de hacer referencia a la norma ISO 27001 ISMS.
- Metodología de evaluación de riesgos — Es necesario abordar los riesgos específicos de privacidad para los titulares de información personal identificable, no solo los riesgos de seguridad de la información de la organización.
- Declaración de aplicabilidad — Debe reconstruirse de acuerdo con los 78 controles del Anexo A, con justificaciones para la inclusión o exclusión de cada uno.
- Procesamiento de registros — Los requisitos de control para los registros de procesamiento (A.1.2.9 Registros del procesamiento de información personal identificable y A.2.2.7 Registros del procesamiento de información personal identificable) se definen de forma más explícita en 2025
- programa de auditoría interna — Los criterios de auditoría deben hacer referencia a la estructura de la cláusula de 2025 y a los controles del Anexo A.
Para obtener una descripción general completa de los requisitos de 2025, consulte nuestra Guía de requisitos de la norma ISO 27701:2025.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué significa esto para las organizaciones que actualmente cuentan con la certificación de 2019?
Si su organización ya cuenta con la certificación ISO 27701:2019, la transición a 2025 requiere una planificación cuidadosa, pero no implica empezar de cero. Gran parte del trabajo ya realizado sigue siendo válido. Sus políticas de privacidad, registros de procesamiento y muchos de sus procedimientos operativos actuales se mantendrán actualizados, en lugar de ser reemplazados por completo.
Las principales áreas que requieren atención son:
- Análisis de brechas con respecto al Anexo A — Asigne sus controles existentes de 2019 a los 78 controles del Anexo A utilizando Anexo f como referencia. Identifique cualquier control nuevo que no haya abordado previamente.
- Reevaluación del riesgo para la privacidad — Es posible que su metodología de evaluación de riesgos deba actualizarse para reflejar los requisitos de la Cláusula 6, que se centran específicamente en los riesgos para los titulares de información personal identificable en lugar de los riesgos de seguridad de la información de la organización.
- Reconstrucción de SoA — Su Declaración de Aplicabilidad debe reescribirse de acuerdo con la nueva estructura del Anexo A, con justificaciones para cada uno de los 78 controles.
- Revisión de la independencia — Si tiene previsto certificar la norma ISO 27701:2025 como norma independiente, asegúrese de que la documentación de su PIMS sea autónoma y no dependa de referencias a su ISMS ISO 27001 para estar completa.
¿Cuál es el cronograma de transición?
Las organizaciones que actualmente cuentan con la certificación ISO 27701:2019 deben realizar la transición a la edición de 2025 antes de la fecha límite. Octubre 2028Hitos clave:
- Ahora — La norma ISO 27701:2025 está publicada y disponible para su implementación.
- 2025 a 2026 — Los organismos de certificación completan su acreditación y comienzan a ofrecer auditorías ISO 27701:2025.
- Octubre 2028 — Todos los certificados ISO 27701:2019 caducan. La transición debe estar completa.
El plazo de transición de tres años es generoso, pero las organizaciones no deberían esperar hasta el último momento. Quienes adopten la nueva tecnología con anticipación se beneficiarán de una menor competencia por la disponibilidad de auditores y de más tiempo para abordar cualquier deficiencia detectada durante la implementación.
Las organizaciones que se incorporan por primera vez a la norma ISO 27701 deben implementar directamente la edición de 2025. No hay ninguna ventaja en implementar la edición de 2019 en esta etapa, ya que se retirará al final del período de transición. Para una planificación de transición paso a paso, consulte nuestra guía de transición.
¿Por qué elegir SGSI.online ¿Para tu transición?
SGSI.online Está diseñado específicamente para ayudar a las organizaciones a afrontar la transición de 2019 a 2025 y lograr la certificación de manera eficiente:
- Marco ISO 27701:2025 predefinido — Comience con la estructura completa de la cláusula, los 78 controles del Anexo A y la guía de implementación ya mapeados y listos para personalizar.
- Herramientas de análisis de brechas — Identifique con precisión dónde su PIMS actual cumple con los requisitos de 2025 y dónde se necesita trabajo adicional.
- Generador de declaraciones de aplicabilidad — Genera y mantén tu Declaración de Acuerdo (SoA) con justificaciones de control, estado de implementación y evidencia vinculada.
- Registro de riesgos de privacidad — Flujos de trabajo integrados de evaluación y tratamiento de riesgos alineados con los requisitos de la Cláusula 6
- Panel de preparación para la auditoría — Realiza un seguimiento de tu progreso, centraliza la evidencia y asegúrate de estar listo para la certificación antes de la fecha de tu auditoría.
Preguntas Frecuentes
¿Necesito volver a certificarme según la edición de 2025?
Sí. Todos los certificados ISO 27701:2019 deben actualizarse a la edición de 2025 antes de octubre de 2028. Esto puede realizarse durante una auditoría de vigilancia o recertificación programada, o mediante una auditoría de transición específica. Su organismo de certificación evaluará su PIMS conforme a los requisitos de la edición de 2025, incluidos los controles del Anexo A reestructurados y los nuevos requisitos de evaluación de riesgos de privacidad de la Cláusula 6.
¿Puedo utilizar mi SGSI ISO 27001 existente junto con la ISO 27701:2025?
Por supuesto. La norma ISO 27701:2025 está diseñada para funcionar tanto de forma independiente como complementaria a la ISO 27001. Si ya dispone de un SGSI, puede integrar su SGPI con él, compartiendo elementos comunes del sistema de gestión, como el control de documentos, la auditoría interna y la revisión por la dirección. Muchas organizaciones optan por este enfoque para evitar duplicar esfuerzos en ambos sistemas.
¿Cuál es el plazo para la transición desde la norma ISO 27701:2019?
La fecha límite para la transición es octubre de 2028. Después de esta fecha, todos los certificados ISO 27701:2019 dejarán de ser válidos. Las organizaciones deben planificar su transición con suficiente antelación para garantizar la disponibilidad de auditores y disponer del tiempo necesario para realizar los cambios pertinentes en su sistema de gestión de la información de privacidad.
Identifique exactamente dónde se queda corto su PIMS actual con nuestra Guía paso a paso para el análisis de brechas.
See El camino más rápido hacia la certificación para obtener un cronograma realista basado en su punto de partida.
Aprende de los demás y revisa el errores de implementación más comunes.
