¿Qué exige la cláusula 5?
La cláusula 5 establece las bases de liderazgo y gobernanza para su Sistema de Gestión de Información de Privacidad (PIMS). Garantiza que la privacidad sea una prioridad desde la alta dirección de la organización, con una clara rendición de cuentas, una política definida y responsabilidades asignadas. La cláusula consta de tres subapartados que abarcan el compromiso, la política y las funciones.
5.1 Liderazgo y compromiso
La alta dirección deberá demostrar liderazgo y compromiso con respecto al PIMS mediante:
- Garantizar que la política de privacidad y los objetivos de privacidad estén establecidos y sean compatibles con la dirección estratégica de la organización.
- Garantizar la integración de los requisitos del PIMS en los procesos de negocio de la organización.
- Garantizar que los recursos necesarios para el PIMS estén disponibles.
- Comunicar la importancia de una gestión eficaz de la privacidad y del cumplimiento de los requisitos del PIMS.
- Garantizar que el PIMS logre los resultados previstos.
- Dirigir y apoyar a las personas para que contribuyan a la eficacia del PIMS.
- Promover la mejora continua
- Apoyar a otros roles de gestión relevantes para que demuestren su liderazgo en lo que respecta a sus áreas de responsabilidad.
Estas ocho responsabilidades dejan claro que la privacidad no es una función delegada al departamento de TI. La alta dirección debe participar activamente y rendir cuentas.
5.2 Política de privacidad
La alta dirección deberá establecer una política de privacidad que:
- Es apropiado para el propósito de la organización.
- Proporciona un marco para establecer objetivos de privacidad.
- Incluye el compromiso de cumplir con los requisitos aplicables.
- Incluye un compromiso con la mejora continua del PIMS.
La política de privacidad también debe cumplir tres requisitos de disponibilidad:
- Estar disponible como información documentada
- Debe comunicarse dentro de la organización.
- Estar disponible para las partes interesadas, según corresponda.
Cabe señalar que la política de privacidad a la que se hace referencia aquí es el documento de política del sistema de gestión, no el aviso de privacidad externo proporcionado a los interesados. Ambos son necesarios, pero cumplen funciones diferentes.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
5.3 Funciones, responsabilidades y autoridades
La alta dirección deberá garantizar que las responsabilidades y atribuciones de las funciones relevantes para el PIMS se asignen y comuniquen dentro de la organización. En concreto, la alta dirección deberá asignar la responsabilidad y la atribución de:
- Garantizar la conformidad — Que el PIMS cumpla con los requisitos de la norma ISO 27701:2025.
- Informes de rendimiento — El desempeño del PIMS se reporta a la alta dirección.
Esto no significa que una sola persona deba encargarse de todo. Las responsabilidades pueden distribuirse entre distintos roles, como el de Responsable de Protección de Datos (RPD), el de gestor de privacidad, el responsable de PIMS o el del equipo de cumplimiento normativo. Lo fundamental es que las responsabilidades estén claramente definidas, documentadas y comunicadas.
¿Qué relación tiene esto con el RGPD?
La cláusula 5 respalda varias GDPR requisitos:
- Artículo 24 — Responsabilidad del controlador de implementar las medidas adecuadas y poder demostrar el cumplimiento.
- Artículos 37 a 39 (disposiciones relacionadas, no incluidas formalmente en el Anexo D) (disposiciones relacionadas, no incluidas formalmente en el Anexo D) — Designación, puesto y tareas del Responsable de Protección de Datos, que se ajustan a los requisitos de asignación de funciones en 5.3
- Considerando 39 — Principio de transparencia, respaldado por una política de privacidad clara.
Las organizaciones sujetas al RGPD deben asegurarse de que su función de DPO (cuando se haya designado) se refleje en las asignaciones de funciones de PIMS según la cláusula 5.3.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Principales cambios en la cláusula 5 en comparación con la edición de 2019:
Para obtener una visión general más amplia de los cambios, consulte Novedades de la norma ISO 27701:2025.
- Requisitos autónomos — En 2019, la cláusula 5.3 complementó la cláusula 5 de la norma ISO 27001. Ahora los requisitos de liderazgo son completos e independientes.
- Política específica de privacidad — Los requisitos de la política ahora hacen referencia explícita a la privacidad en lugar de basarse en una política de seguridad de la información modificada.
- Ocho áreas de compromiso — Los requisitos de compromiso del liderazgo ahora están claramente enumerados, lo que facilita la evaluación por parte de los auditores.
- Requisitos de rol simplificados — La edición de 2025 se centra en la garantía de conformidad y la presentación de informes de rendimiento, en lugar de enumerar funciones específicas de privacidad.
Para ver el mapa completo, consulte la Tabla de correspondencias del Anexo F.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de la Cláusula 5, los auditores generalmente buscarán lo siguiente:
El requisito de la política de privacidad se conecta directamente con A.3.3 Políticas de Seguridad de la Información en el conjunto de control del Anexo A.
Los CISO que integren la privacidad en su programa de seguridad deberían leer nuestra Guía del CISO sobre la norma ISO 27701:2025.
- Actas de revisión de gestión. — Evidencia del compromiso de la alta dirección con el desempeño y las decisiones de PIMS.
- Documento de política de privacidad — Una política vigente y aprobada que cumpla con los cuatro requisitos de contenido y los tres requisitos de disponibilidad.
- Asignación de recursos — Evidencia presupuestaria y de personal que demuestre que se proporcionan recursos adecuados para el PIMS.
- Descripciones de puestos — Asignaciones documentadas de responsabilidades de PIMS, incluyendo quién reporta a la alta dirección.
- Registros de comunicación — Pruebas de que la política y su importancia se han comunicado al personal.
- Organigrama — Mostrar dónde se ubican las funciones de privacidad dentro de la estructura de la organización.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
Cláusulas relacionadas
| Cláusula | Relación |
|---|---|
| Cláusula 4: Contexto | La política de privacidad y la dirección del liderazgo deben ser compatibles con el análisis del contexto. |
| Cláusula 6: Planificación | La política proporciona el marco para establecer objetivos de privacidad (6.2) |
| Cláusula 7: Soporte | Los requisitos de recursos, competencia y concienciación dependen de que el liderazgo proporcione el apoyo adecuado. |
| Cláusula 9: Evaluación del Desempeño | La revisión de la gestión (9.3) es donde la alta dirección ejerce su rol de liderazgo en la práctica. |
Vea también Cláusula 8 (Operación) sobre cómo se ponen en práctica las directrices de liderazgo.
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 5?
SGSI.online Proporciona las herramientas para demostrar liderazgo y gobernanza:
Para la planificación de la certificación, consulte el guía de certificación independiente.
- Gestión de políticas — Crea, aprueba y controla las versiones de tu política de privacidad con un registro de auditoría completo y seguimiento de la distribución.
- Asignación de roles — Definir y documentar las funciones de PIMS con responsabilidades, autoridades y líneas jerárquicas.
- Revisión de gestión — Plantillas estructuradas para reuniones de revisión de gestión con puntos del orden del día, aportaciones y seguimiento de acciones.
- Seguimiento de la comunicación — Registrar y documentar cómo se comunican las políticas y expectativas de privacidad al personal.
- Informes del tablero — Proporcionar a la alta dirección datos de rendimiento de PIMS de un vistazo para la toma de decisiones informadas.
Preguntas Frecuentes
¿Quiénes se consideran “alta dirección” a efectos de la cláusula 5?
La alta dirección se define como la persona o el grupo de personas que dirigen y controlan la organización al más alto nivel. En la práctica, esto suele referirse al director ejecutivo, el consejo de administración, el equipo directivo superior o equivalentes. La clave reside en determinar si tienen la autoridad para asignar recursos, establecer políticas y tomar decisiones estratégicas sobre el PIMS.
¿La política de privacidad es lo mismo que un aviso de privacidad?
No. La política de privacidad requerida por la Cláusula 5.2 es un documento del sistema de gestión interna que establece la dirección y los principios generales para la gestión de la privacidad. Un aviso de privacidad (o declaración de privacidad) es un documento externo que se proporciona a los interesados y que explica cómo se procesa su información personal. Ambos son necesarios, pero están dirigidos a públicos y propósitos diferentes.
¿Necesita la organización un responsable de protección de datos designado?
La norma ISO 27701:2025 no exige la figura de un Delegado de Protección de Datos (DPD). Requiere que se asignen y comuniquen las responsabilidades y facultades. Sin embargo, si la legislación aplicable (como los artículos 37 a 39 del RGPD) exige la figura de un DPD, este rol debe reflejarse en la asignación de funciones de la cláusula 5.3. Incluso cuando no sea obligatorio por ley, designar a un responsable de privacidad o equivalente es una buena práctica.
Conseguir el apoyo del liderazgo suele ser el primer obstáculo: nuestra guía sobre obtener el apoyo de la dirección Proporciona estrategias prácticas.
Comparte nuestro Resumen ejecutivo para los miembros del consejo para ofrecer a los altos directivos una visión general concisa de la norma.
