Ir al contenido
SGSI.online

ISO 27701:2025 Cláusula 10: Mejora

La cláusula 10 abarca la fase de "Actuación" del ciclo PDCA. Requiere que su organización mejore continuamente el PIMS y reaccione ante las no conformidades con acciones correctivas eficaces que aborden las causas raíz.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué exige la cláusula 10?

La cláusula 10 cierra el ciclo de la PDCA al exigir que su organización mejore continuamente el Sistema de Gestión de Información de Privacidad (PIMS) y gestione eficazmente las no conformidades cuando se produzcan. Consta de dos subcláusulas: una para la mejora continua y otra para el proceso de no conformidad y acciones correctivas.

Las medidas correctivas pueden requerir una revisión de la Controles del anexo A y actualizando la Declaración de Aplicabilidad.

10.1 Mejora continua

La organización deberá mejorar continuamente la idoneidad, la adecuación y la eficacia del PIMS.

La mejora continua es un principio fundamental de todas las normas ISO de sistemas de gestión. Para un PIMS, esto significa identificar e implementar sistemáticamente oportunidades para mejorar la protección de la privacidad. Las fuentes de oportunidades de mejora incluyen:

  • Los resultados de los seguimiento y medición (Cláusula 9.1)
  • Hallazgos de la auditoría interna (Cláusula 9.2)
  • Decisiones de revisión de la dirección (Cláusula 9.3)
  • Cambios en los riesgos de privacidad, las regulaciones o la tecnología.
  • Comentarios de los responsables de PII, clientes y otras partes interesadas.
  • Lecciones aprendidas de los incidentes de privacidad
  • Mejores prácticas y evaluación comparativa del sector

Mejorar no siempre implica grandes cambios. Pequeñas mejoras graduales en los procesos, controles y documentación a lo largo del tiempo pueden fortalecer significativamente su postura en materia de privacidad.

10.2 No conformidad y acción correctiva

Cuando se produzca una no conformidad, la organización deberá:

  • Reaccionar ante la no conformidad — Toma medidas para controlarlo y corregirlo, y afronta las consecuencias.
  • Evaluar la necesidad de actuar — Determinar si es necesario tomar medidas para eliminar la causa para que no se repita ni ocurra en otro lugar, revisando la no conformidad, determinando las causas y determinando si existen o podrían ocurrir no conformidades similares.
  • Implementar cualquier acción necesaria — Implementar medidas correctivas para abordar las causas fundamentales.
  • Evaluar la efectividad — Verificar que las medidas correctivas adoptadas hayan sido efectivas para prevenir la recurrencia.
  • Realizar cambios en el PIMS — Si es necesario, actualice el sistema de gestión para reflejar las lecciones aprendidas.

Las medidas correctivas deben ser proporcionales a los efectos de las no conformidades detectadas. Una deficiencia menor en el procedimiento no requiere el mismo nivel de respuesta que una violación significativa de la privacidad.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Requisitos de información documentada

La organización debe conservar información documentada como prueba de:

  • La naturaleza de las no conformidades y las medidas posteriores adoptadas
  • Los resultados de cualquier acción correctiva

Esto significa mantener registros claros que demuestren que se cuenta con un proceso sistemático para abordar los problemas, no solo para solucionar el problema inmediato, sino también para comprender por qué ocurrió y evitar que vuelva a suceder.

¿Qué relación tiene esto con el RGPD?

  • Artículo 33 — Notificación de una violación de datos personales a la autoridad de control. Los incidentes de privacidad que constituyan no conformidades también pueden requerir notificación de la violación.
  • Artículo 34 — Comunicación de una violación de datos personales al interesado, que puede ser una acción correctiva derivada de la investigación del incidente.
  • Artículo 5 (2) — El principio de rendición de cuentas, respaldado por evidencia documentada de acciones correctivas y mejoras.
  • Artículo 24 — Responsabilidad del controlador de revisar y actualizar las medidas cuando sea necesario, en consonancia con la mejora continua.

Para ver el mapa completo, consulte la Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

  • Requisitos autónomos — En 2019, la cláusula 5.8 complementó la cláusula 10 de la norma ISO 27001. Ahora los requisitos de mejora son completos e independientes.
  • Enfoque específico en la privacidad — El proceso de no conformidad y acción correctiva ahora opera explícitamente dentro del contexto del PIMS en lugar de extender un proceso del ISMS.
  • Estructura más clara — El proceso de acción correctiva de cinco pasos (reaccionar, evaluar, implementar, revisar, cambiar) se articula con mayor claridad.

Para una visión más amplia, consulte Novedades de la norma ISO 27701:2025.

Consulte las Tabla de correspondencias del Anexo F para el mapeo completo.

¿Qué tipo de evidencia esperan los auditores?

  • Registro de no conformidades — Un registro de todas las no conformidades identificadas, de cualquier origen (auditorías, incidentes, quejas, seguimiento).
  • Análisis de causa raíz — Evidencia de que se investigaron las causas, no solo los síntomas.
  • Registros de acciones correctivas — Acciones documentadas realizadas, con responsables asignados, plazos y evidencia de finalización.
  • Reseñas de eficacia — Evidencia de que se realizó un seguimiento de las acciones correctivas para verificar que funcionaron.
  • Cambios en PIMS — Registros de los cambios realizados en el sistema de gestión como resultado de las lecciones aprendidas.
  • Evidencia de mejora — Mejoras demostrables a lo largo del tiempo, como la disminución de las tasas de incidentes, tiempos de respuesta más rápidos o mejores resultados de auditoría.

Las mejoras impulsadas por incidentes se conectan a A.3.11 Gestión de incidentes en los controles compartidos.

Cláusulas relacionadas

Cláusula Relación
Cláusula 6: Planificación Las medidas correctivas pueden dar lugar a actualizaciones de la evaluación de riesgos o del plan de tratamiento.
Cláusula 8: Operación Las no conformidades operacionales son una fuente principal de insumos para acciones correctivas.
Cláusula 9: Evaluación del Desempeño Los hallazgos de las auditorías y los resultados de las revisiones de la dirección impulsan tanto las acciones correctivas como las mejoras.

Vea también Cláusula 4 (Contexto), Cláusula 5 (Liderazgo) y Cláusula 7 (Soporte).



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 10?

SGSI.online Proporciona las herramientas para impulsar la mejora continua en su PIMS:

  • Gestión de no conformidades — Registre, categorice y realice un seguimiento de las no conformidades de cualquier origen con plantillas de análisis de causa raíz.
  • Flujos de trabajo de acciones correctivas — Asignar tareas a los responsables con plazos de entrega, realizar un seguimiento del progreso y programar revisiones de eficacia.
  • Análisis de tendencias — Visualice las tendencias de no conformidad e incidentes a lo largo del tiempo para identificar problemas sistémicos.
  • Registro de mejoras — Capturar y priorizar oportunidades de mejora de todas las fuentes con seguimiento de la implementación
  • Integración de auditoría — Vincular automáticamente los hallazgos de auditoría con las acciones correctivas y realizar un seguimiento hasta su cierre y verificación.

Preguntas Frecuentes

¿Cuál es la diferencia entre una no conformidad y una observación?

Una no conformidad es el incumplimiento de un requisito de la norma, una obligación legal o los requisitos del PIMS de la propia organización. Requiere medidas correctivas. Una observación (a veces denominada «oportunidad de mejora») es un hallazgo que no constituye un fallo, pero que pone de manifiesto un área donde el PIMS podría reforzarse. Las observaciones no requieren medidas correctivas formales, pero deben considerarse como aportaciones para la mejora.

¿Cómo se demuestra la mejora continua a los auditores?

Mediante evidencia objetiva que demuestre la mejora continua del PIMS, se pueden observar tasas de incumplimiento decrecientes, métricas de privacidad mejoradas, tiempos de respuesta a incidentes más rápidos, procesos de gestión de riesgos más maduros, controles optimizados, políticas actualizadas que reflejen las lecciones aprendidas e iniciativas de mejora completadas. Los auditores buscan un enfoque sistemático, no la perfección.

¿Debe cada no conformidad dar lugar a una acción correctiva?

Toda no conformidad debe ser abordada (controlada y corregida), pero la norma establece que la organización debe evaluar la necesidad de tomar medidas para eliminar la causa. En la práctica, la mayoría de las no conformidades justifican una acción correctiva, pero puede haber casos en los que la corrección inmediata sea suficiente y la probabilidad de recurrencia sea mínima. En cualquier caso, la evaluación debe documentarse.

Aprende de los demás revisando los errores de implementación más comunes Y como evitarlos.

Regular análisis de las deficiencias Los ejercicios ayudan a identificar oportunidades de mejora y a mantener la preparación para la certificación.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.