¿Por qué se actualizó la norma ISO 27701?
La primera edición de ISO 27701, Se publicó en 2019 como una extensión de las normas ISO 27001 e ISO 27002. Desde entonces, el panorama de la privacidad ha cambiado significativamente. Han surgido nuevas regulaciones, la tecnología ha evolucionado (IA, IoT, biometría) y las organizaciones han solicitado una norma independiente que no dependa de un sistema de gestión de seguridad de la información aparte.
La norma ISO/IEC 27701:2025, publicada en octubre de 2025, es la segunda edición. Sustituye por completo a la versión de 2019 e introduce cambios estructurales diseñados para que la gestión de la información de privacidad sea más práctica y accesible.
¿Cuáles son los cambios más importantes en la norma ISO 27701:2025?
La edición de 2025 introduce siete cambios clave que las organizaciones deben comprender:
1. Estándar independiente
El cambio más significativo es que ISO 27701:2025 ahora es una estándar del sistema de gestión independienteLas organizaciones ya no necesitan obtener la certificación ISO 27001 previamente. La norma contiene su propio conjunto completo de requisitos (cláusulas 4 a 10), que abarcan el contexto, el liderazgo, la planificación, el apoyo, la operación, la evaluación del desempeño y la mejora.
Esto abre la puerta a las organizaciones que desean una certificación de privacidad sin la complejidad de un SGSI completo, al tiempo que permite la integración con la norma ISO 27001 para aquellas que desean ambas.
2. Anexo A reestructurado con tres tablas de control.
Las antiguas cláusulas 7 (orientación del controlador de PII) y 8 (orientación del procesador de PII) han sido sustituidas por una unificada anexo A con tres mesas:
| Tabla | <b></b><b></b> | Controla |
|---|---|---|
| Cuadro A.1 | Controles del controlador PII | 31 controles |
| Cuadro A.2 | Controles del procesador PII | 18 controles |
| Cuadro A.3 | Controles de seguridad compartidos (controladores y procesadores) | 29 controles |
Esto brinda a las organizaciones 78 controles de privacidad En total, cada uno con su correspondiente guía de implementación en el Anexo B. La estructura aclara mucho mejor qué controles se aplican a su función.
3. El Anexo B proporciona orientación para la implementación.
El Anexo B reproduce cada control del Anexo A con instrucciones detalladas para su implementación. Mientras que la versión de 2019 incluía las instrucciones en las Cláusulas 6, 7 y 8, la edición de 2025 separa el "qué" (Anexo A) del "cómo" (Anexo B). Esto simplifica la auditoría y el análisis de brechas.
4. Nuevos anexos cartográficos
La edición de 2025 incluye cuatro anexos cartográficos:
- anexo C — Correspondencia con los principios de privacidad de la norma ISO/IEC 29100
- Anexo D - Correspondencia con los artículos del RGPD
- Anexo E — Correspondencia con ISO/IEC 27018 e ISO/IEC 29151
- Anexo f — Correspondencia con la norma ISO 27701:2019 (novedad en 2025)
El Anexo F resulta especialmente valioso para las organizaciones que están en transición desde la edición de 2019, ya que relaciona cada control antiguo con su equivalente de 2025.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
5. La cláusula 6 simplificada reemplaza a la antigua cláusula 6.
La edición de 2019 Cláusula 6 Contenía más de 90 subcláusulas que hacían referencia a los controles ISO 27002 con adiciones específicas para PII. En 2025, esto se consolidó en Tabla A.3 (controles de seguridad compartidos) con 29 controles específicos. El resultado es un alcance significativamente más manejable.
6. Requisitos del sistema de gestión simplificado
Las cláusulas 4 a 10 ahora siguen la estructura estándar del sistema de gestión ISO (Estructura Armonizada). Son independientes y no requieren referencias cruzadas con las cláusulas de la norma ISO 27001, aunque la armonización es sencilla para las organizaciones que poseen ambas certificaciones.
7. Consideraciones sobre el cambio climático
En consonancia con las recientes modificaciones de la norma ISO en todos los sistemas de gestión, las cláusulas 4.1 y 4.2 ahora exigen que las organizaciones determinen si el cambio climático es un tema relevante para el contexto de su PIMS.
¿Cómo se compara la estructura de control con la de 2019?
| Aspecto | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Dependencia | Extensión a ISO 27001 + 27002 | Estándar independiente |
| Orientación del controlador | Cláusula 7 (incorporado) | Cuadro A.1 + Anexo B.1 (31 controles) |
| Guía del procesador | Cláusula 8 (incorporado) | Cuadro A.2 + Anexo B.2 (18 controles) |
| Controles de seguridad | Cláusula 6 (más de 90 subcláusulas que hacen referencia a la norma ISO 27002) | Cuadro A.3 + Anexo B.3 (29 controles) |
| Controles de privacidad totales | Repartido entre las cláusulas 6, 7 y 8. | 78 controles en el Anexo A |
| GDPR cartografía | Anexo D | Anexo D (actualizado) |
| Correspondencia de 2019 | N/A | Anexo F (nuevo) |
¿Cuál es la fecha límite para la transición?
Las organizaciones certificadas según la norma ISO 27701:2019 tienen hasta Octubre 2028 para pasar a la edición de 2025. Esto da un plazo de tres años a partir de la fecha de publicación.
Estructurado análisis de las deficiencias Es el mejor punto de partida para comprender qué significa la edición de 2025 para su sistema PIMS actual.
Durante el período de transición:
- Se pueden emitir nuevas certificaciones para cualquiera de las dos ediciones.
- Los certificados de 2019 existentes seguirán siendo válidos hasta su vencimiento o la fecha límite de transición, lo que ocurra primero.
- Los organismos de certificación deberán actualizar sus programas de auditoría para evaluar el cumplimiento de los requisitos de 2025.
Para un enfoque paso a paso de la transición, consulte nuestra Guía de transición a la norma ISO 27701.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué significa en la práctica la certificación independiente?
Según la edición de 2019, una organización solo podía obtener la certificación ISO 27701 si ya contaba con la certificación ISO 27001 (o si estaba en proceso de obtenerla simultáneamente). Esto suponía un obstáculo para las organizaciones que necesitaban una certificación de privacidad, pero no un sistema completo de gestión de la seguridad de la información.
Con la edición de 2025, las organizaciones pueden obtener la certificación ISO 27701 de forma independiente. La norma ahora incluye sus propios requisitos para el sistema de gestión (cláusulas 4 a 10) y su propio conjunto de controles (Anexo A). Sin embargo, la integración con la norma ISO 27001 sigue siendo sencilla y se recomienda cuando ambas disciplinas son relevantes.
¿Por qué elegir SGSI.online ¿Para la norma ISO 27701:2025?
SGSI.online Le ofrece una forma práctica y estructurada de implementar y mantener su Sistema de Gestión de Información de Privacidad alineado con la norma ISO 27701:2025:
- Marco de trabajo preconstruido — Controles, cláusulas y requisitos de evidencia de la norma ISO 27701:2025 mapeados y listos para usar desde el primer día.
- Gestión integrada de riesgos — Realice evaluaciones de riesgos de privacidad junto con evaluaciones de riesgos de seguridad de la información en un mismo lugar.
- Gestión de políticas y controles — Redactar, aprobar, distribuir y realizar el seguimiento de la confirmación de las políticas de privacidad.
- Administración de suministros — Realizar un seguimiento de los contratos de procesamiento de información de identificación personal, las divulgaciones de subcontratistas y los registros de transferencias transfronterizas.
- Disponibilidad de auditoría — Mantenga su declaración de aplicabilidad, paquetes de evidencia y acciones correctivas en una única plataforma.
- Soporte para doble certificación — Ejecute ISO 27701 de forma independiente o integrado con ISO 27001 sin duplicar esfuerzos.
Preguntas Frecuentes
¿Es la norma ISO 27701:2025 compatible con la versión de 2019?
No directamente. La estructura ha cambiado significativamente, ya que las antiguas cláusulas 6, 7 y 8 han sido sustituidas por los anexos A y B. Sin embargo, el anexo F proporciona una tabla de correspondencia completa que relaciona cada control de 2019 con su equivalente de 2025, lo que facilita el análisis de brechas.
¿Aún necesito la certificación ISO 27001 para obtener la certificación ISO 27701?
No. La norma ISO 27701:2025 es una norma independiente con sus propios requisitos para el sistema de gestión. Puede obtener la certificación de forma independiente. Si ya cuenta con la certificación ISO 27001, puede integrar ambos sistemas y beneficiarse de los procesos compartidos.
¿Cuándo debo realizar la transición desde la norma ISO 27701:2019?
La fecha límite para la transición es octubre de 2028, lo que le da un plazo de tres años a partir de la publicación de la edición de 2025. Los certificados de 2019 existentes seguirán siendo válidos hasta su vencimiento o hasta la fecha límite de transición, lo que ocurra primero.
¿Cuántos controles contiene la norma ISO 27701:2025?
En el Anexo A hay 78 controles, divididos en tres tablas: 31 para los controladores de PII (Cuadro A.1), 18 para procesadores PII (Cuadro A.2) y 29 controles de seguridad compartidos para ambos (Cuadro A.3). Cada control tiene su correspondiente guía de implementación en el Anexo B.
¿Cubre la norma ISO 27701:2025 la relación entre la IA y los datos biométricos?
El estándar es tecnológicamente neutro, pero sus controles para la toma de decisiones automatizada (A.1.3.11 Toma de decisiones automatizada), evaluación del impacto en la privacidad (A.1.2.6 Evaluación del impacto en la privacidad) y minimización de datos (A.1.4.5 Minimización de la información de identificación personalEstos principios son directamente relevantes para la IA, el IoT y el procesamiento biométrico. Se aplican independientemente de la tecnología utilizada.
Si está valorando si la certificación es adecuada para su organización, consulte nuestra guía: ¿Necesito la certificación ISO 27701:2025?.
Para obtener una descripción general concisa que pueda compartir con las partes interesadas de alto nivel, lea nuestra Resumen ejecutivo para los miembros del consejo.
