Hasta octubre de 2025, implantar la ISO 27701 exigía tener o estar implantando simultáneamente la ISO/IEC 27001. Era una extensión, no un estándar de gestión completo. Con la publicación de ISO/IEC 27701:2025 el 14 de octubre de 2025, ese requisito desaparece: la norma se convierte en un Sistema de Gestión de Información de Privacidad (PIMS) autónomo, certificable de forma independiente. Este cambio abre la puerta a clínicas, despachos, plataformas digitales y cualquier organización que trate datos personales de forma intensiva pero que no necesite —o no quiera— asumir el coste y el alcance completo de una certificación de seguridad de la información bajo ISO 27001.
¿Qué es la ISO 27701 y para qué sirve?
La ISO/IEC 27701 es la norma internacional que especifica los requisitos para establecer, implantar, mantener y mejorar un PIMS (Privacy Information Management System). Su objetivo es doble: proporcionar un marco de gobernanza de la privacidad y servir como evidencia demostrable de cumplimiento frente al RGPD (Reglamento General de Protección de Datos, UE 2016/679) y a marcos equivalentes en otros territorios.
A diferencia de una auditoría interna de protección de datos o de una consultoría RGPD puntual, la certificación ISO 27701 supone que un organismo acreditado externo —AENOR, Bureau Veritas, SGS, TÜV, BSI u otros— audita y certifica que tu sistema de gestión de privacidad cumple los requisitos de la norma. Es una señal de confianza objetiva, verificada por terceros.
Desde Summum Calidad acompañamos a organizaciones en Castilla y León y Canarias en todo el proceso de implantación y preparación para esa auditoría de certificación; la certificación la emite el organismo acreditado, nosotros te llevamos hasta estar listos y sin sorpresas el día de la auditoría. Puedes conocer el detalle de nuestro servicio de implantación ISO 27701.
Las novedades clave de ISO 27701:2025
1. Estándar independiente: adiós a la dependencia de ISO 27001
La edición de 2019 era técnicamente una extensión de ISO 27001 e ISO 27002: sus cláusulas operativas (antiguas 6, 7 y 8) requerían referencias cruzadas constantes a ISO 27001. Eso significaba que no podías certificarte en privacidad sin tener primero —o en paralelo— tu Sistema de Gestión de Seguridad de la Información certificado o en proceso de certificación.
La edición 2025 cambia esto de raíz. Las cláusulas 4 a 10 siguen ahora la estructura armonizada ISO (también llamada HLS, High Level Structure) y son completamente autónomas. No exigen referencia a ISO 27001. Las antiguas cláusulas 6, 7 y 8 se han transformado en los Anexos A y B, reorganizados como controles propios del PIMS. El Anexo F incluye una tabla de correspondencia completa para quien venga de la versión 2019.
2. Distinción reforzada entre responsables y encargados del tratamiento
La norma 2025 alinea con mayor precisión la distinción RGPD entre controller (responsable del tratamiento) y processor (encargado del tratamiento). El Anexo A incluye controles específicos para encargados que gestionan información de identificación personal (PII) por cuenta de responsables externos. Esto es clave para proveedores cloud, plataformas SaaS, empresas de externalización de nóminas o cualquier organización que procese datos de clientes de sus clientes.
3. Mayor exigencia documental y de evidencia
La cláusula 9 introduce un enfoque estructurado e independiente para evaluar la eficacia del PIMS: no basta con tener procedimientos, hay que demostrar con evidencias que funcionan. La cláusula 10 revisada exige que la mejora continua esté basada en datos de rendimiento, no solo en no conformidades. En términos prácticos: indicadores de privacidad, registros de incidentes, métricas de ejercicios de derechos y seguimiento de transferencias internacionales deben estar documentados y analizados de forma sistemática.
4. Controles específicos para transferencias internacionales
La edición 2025 formaliza ocho controles dedicados a transferencias internacionales de datos: base legal de la transferencia, documentación del país destinatario, registros de divulgación, notificación de solicitudes de divulgación, procedimiento ante divulgaciones legalmente vinculantes, gestión de subcontratistas y notificación de cambios en la cadena de subcontratación. Esto es especialmente relevante para grupos empresariales con filiales fuera del Espacio Económico Europeo o para pymes que usan servicios cloud alojados en Estados Unidos.
5. Integración facilitada con ISO 27001 para quien la tenga
Para las organizaciones que ya disponen de ISO 27001 o que desean implantar ambas normas, la 2025 facilita la integración mediante el Anexo F. Los sistemas conjuntos son más eficientes: se comparten políticas, procedimientos de auditoría interna, revisión por la dirección y ciclos de mejora. No es obligatorio, pero sí recomendable si el negocio maneja también riesgos de ciberseguridad significativos.
Comparativa: ISO 27701:2019 frente a ISO 27701:2025
| Característica | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| Naturaleza | Extensión de ISO 27001/27002 | Estándar independiente (PIMS autónomo) |
| Requisito previo | ISO 27001 obligatoria | Sin requisito previo |
| Estructura | Cláusulas 6-7-8 + referencias cruzadas ISO 27001 | Cláusulas 4-10 HLS + Anexos A y B propios |
| Controles | Adaptados desde ISO 27002:2013 | Controles PIMS propios (Anexo A y B), independientes |
| Transferencias internacionales | Cobertura limitada | 8 controles específicos dedicados |
| Evidencia y métricas | Evaluación básica | Cláusula 9 independiente + mejora basada en datos |
| Alineación RGPD | General | Reforzada: controller/processor, transferencias, ciclo de vida PII |
| Plazo de transición (certif. existentes) | — | Hasta octubre de 2028 (3 años desde publicación) |
¿A quién beneficia más la nueva ISO 27701:2025?
Sectores con alta intensidad de datos personales sin necesidad de ISO 27001
La novedad más importante de la edición 2025 es que ya no tienes que implantar un SGSI completo bajo ISO 27001 para obtener una certificación de privacidad reconocida internacionalmente. Esto abre el estándar a perfiles que antes quedaban fuera o lo percibían como demasiado costoso:
- Clínicas y centros médicos: tratan datos de salud (categoría especial RGPD) pero sus sistemas informáticos son a menudo gestionados por terceros. La ISO 27701 les permite certificar su gobernanza de privacidad sin asumir el peso de un SGSI.
- Despachos de abogados y gestorías: manejan datos personales y confidenciales de clientes. La certificación ISO 27701 es una palanca diferencial frente a la competencia y tranquiliza al cliente corporativo.
- Plataformas SaaS y marketplaces: actúan como encargados del tratamiento para cientos de clientes. La certificación es cada vez más exigida contractualmente por los responsables del tratamiento.
- Empresas de recursos humanos y outsourcing de nóminas: procesan datos personales de empleados de múltiples empresas cliente.
- Grupos familiares con filiales internacionales: los controles de transferencias internacionales de la 2025 les aportan un marco estructurado para cumplir con las BCR (Binding Corporate Rules) o las cláusulas contractuales tipo de la Comisión Europea.
Organizaciones ya certificadas en ISO 27001
Para quienes ya tienen ISO 27001, la ISO 27701:2025 complementa el SGSI con una capa específica de privacidad. La integración es sencilla: se aprovechan la política, la auditoría interna, la revisión por la dirección y el ciclo de mejora ya existentes. El coste incremental es moderado y el valor diferencial frente a clientes y organismos reguladores es alto.
El valor probatorio ante el RGPD y la AEPD
El artículo 42 del RGPD prevé mecanismos de certificación formalmente aprobados por las autoridades de control; la ISO 27701, a día de hoy, no ha sido aprobada como mecanismo de certificación específico conforme a ese artículo. Sin embargo, la ISO 27701:2025, una vez certificada por un organismo acreditado, constituye evidencia sólida de que la organización ha adoptado medidas técnicas y organizativas adecuadas (artículo 24 RGPD) y puede invocarse ante una inspección de la Agencia Española de Protección de Datos (AEPD) o ante autoridades de control de otros Estados miembro.
No es una exención de sanciones, pero sí un factor mitigante de peso. La jurisprudencia y doctrina de la AEPD reconocen que la adhesión a normas reconocidas puede valorarse positivamente en aplicación del artículo 83.2 RGPD al graduar la cuantía de la sanción. En el contexto de multas que pueden alcanzar el 4 % del volumen de negocio global anual (artículo 83.5 RGPD), disponer de un sistema de gestión certificado y auditado es un argumento jurídico y reputacional de primer orden.
Además, el certificado facilita el proceso de evaluación de impacto relativa a la protección de datos (EIPD), exigida por el artículo 35 RGPD cuando el tratamiento entraña alto riesgo: tener un PIMS operativo y auditado aporta la base metodológica que la EIPD requiere.
¿Cómo es el proceso de implantación?
El proyecto de implantación de ISO 27701 sigue, en términos generales, estas fases:
- Diagnóstico de partida: análisis del estado actual de la gestión de datos personales, flujos de PII, roles de controller/processor, transferencias internacionales y brechas frente a los requisitos de la norma.
- Diseño del PIMS: política de privacidad de alto nivel, registro de actividades de tratamiento (RAT), inventario de PII, asignación de roles y responsabilidades, criterios de evaluación de riesgos de privacidad.
- Implantación de controles: desarrollo o adaptación de procedimientos operativos (ejercicio de derechos, gestión de brechas, evaluaciones de impacto, gestión de terceros y subencargados, transferencias internacionales).
- Auditoría interna y revisión por la dirección: comprobación de que el sistema funciona conforme a lo diseñado, identificación de no conformidades y oportunidades de mejora.
- Auditoría de certificación: primera fase documental y segunda fase in situ por el organismo certificador. Summum Calidad te acompaña en la preparación y en la resolución de hallazgos.
Los plazos típicos para una organización de tamaño medio (20-150 personas) oscilan entre cuatro y ocho meses, dependiendo del nivel de madurez previo en gestión de protección de datos y de la complejidad de los tratamientos realizados.
Transición desde la versión 2019: plazos que debes conocer
Si tu organización tiene actualmente una certificación ISO 27701:2019, el organismo acreditador internacional (IAF) ha establecido un período de transición de tres años desde la publicación de la nueva edición. Eso significa que el plazo límite para completar la auditoría de transición es octubre de 2028. Después de esa fecha, los certificados emitidos bajo la edición 2019 dejarán de ser válidos.
Sin embargo, no es recomendable esperar al último momento. La auditoría de transición requiere actualizar la documentación del PIMS, adaptar controles al nuevo Anexo A y B, y demostrar que el sistema lleva operando conforme a los nuevos requisitos. Planificar la transición con dos años de margen es lo prudente.
Preguntas frecuentes
¿Puedo certificarme en ISO 27701:2025 sin tener ni planear ISO 27001?
Sí. La edición 2025 elimina esta dependencia. Puedes implantar y certificar el PIMS de forma completamente autónoma. Si en el futuro decides implantar ISO 27001, la integración entre ambas normas es muy eficiente gracias a la estructura armonizada que comparten.
¿La ISO 27701 me exime de cumplir el RGPD?
No. La norma no sustituye al RGPD ni exime de sus obligaciones. Lo que hace es proporcionar un sistema de gestión estructurado que te ayuda a cumplirlo de forma demostrable y sistemática. En caso de inspección o sanción, el certificado constituye evidencia de que la organización ha adoptado medidas técnicas y organizativas adecuadas (artículo 24 RGPD), lo que puede ser un factor mitigante.
¿Qué diferencia hay entre ISO 27701 e implantar el RGPD con una consultora de protección de datos?
Una consultoría RGPD estándar elabora la documentación obligatoria: registro de actividades, cláusulas informativas, contratos con encargados y política de privacidad. La ISO 27701 va más allá: implanta un sistema de gestión con ciclo de mejora continua, auditoría interna, evaluación de la eficacia y, sobre todo, una certificación externa verificable por terceros. Es la diferencia entre tener los papeles en regla y poder demostrar objetivamente que la privacidad se gestiona.
¿Cuánto tiempo de vigencia tiene el certificado ISO 27701?
El ciclo de certificación estándar es de tres años, con auditorías de seguimiento anuales (o semestrales, según el organismo) y una auditoría de renovación al tercer año. El mantenimiento del certificado requiere que el PIMS siga operativo y mejorando: no es un trámite puntual, sino un sistema vivo.