Privacidad y seguridad

ISO 27701 · Sistema de Gestión de Privacidad (PIMS)

La ISO 27701:2025 convierte tu cumplimiento del RGPD en un sistema auditable y certificable. Si tratas datos personales de clientes, empleados o proveedores, esta norma demuestra ante terceros que tu organización los gestiona con rigor.

NormaISO/IEC 27701:2025
Duración estimada5-8 meses
ÁmbitoPymes y mid-market con tratamiento de datos personales

La versión 2025 de ISO 27701 supone un cambio de calado: la norma deja de ser una extensión de ISO 27001 y se convierte en un estándar independiente con sus propias cláusulas de gestión y 78 controles orientados exclusivamente a la privacidad. Esto significa que tu empresa puede certificar un Sistema de Gestión de Información de Privacidad (PIMS) sin necesitar antes la certificación ISO 27001, aunque ambas normas son plenamente compatibles y complementarias. El plazo de transición para las organizaciones ya certificadas en la edición de 2019 se extiende hasta octubre de 2028.

En la práctica, ISO 27701 sistematiza todo lo que el RGPD y la LOPDGDD exigen pero no detallan cómo hacer: bases de legitimación documentadas, registros de actividades de tratamiento, evaluaciones de impacto (EIPD), gestión de brechas de seguridad, contratos con encargados de tratamiento y ejercicio de derechos de los interesados. El Anexo D de la norma establece una correspondencia artículo a artículo con el RGPD, de modo que superar una auditoría de tercera parte bajo ISO 27701 equivale a demostrar un nivel de madurez muy sólido frente a cualquier inspección de la Agencia Española de Protección de Datos (AEPD).

Summum Calidad acompaña a tu organización desde el diagnóstico de partida hasta la auditoría de certificación. No certificamos nosotros: la certificación la emite un organismo acreditado por ENAC (AENOR, Bureau Veritas, SGS u otros). Nuestro trabajo es que llegues a esa auditoría con el sistema implantado, documentado y probado. Con más de 200 certificaciones ISO acompañadas desde 2007 en Castilla y León y Canarias, sabemos qué busca el auditor y cómo evitar que los gaps de última hora retrasen el certificado.

El proceso de ISO 27701.

El proceso · cuatro tiempos
01

Diagnóstico de privacidad

Analizamos el inventario de tratamientos de datos personales de tu organización, identificamos brechas respecto a los requisitos de ISO 27701:2025 y la LOPDGDD, y priorizamos las acciones con mayor impacto en el RGPD.

02

Diseño e implantación del PIMS

Redactamos y adaptamos la política de privacidad corporativa, el registro de actividades de tratamiento, los procedimientos de respuesta a derechos y el protocolo de gestión de brechas. Diseñamos los 78 controles de la norma ajustados a tu realidad operativa.

03

Formación y operación

Formamos a los responsables internos y al DPO (propio o externo) en el uso del sistema. Realizamos una auditoría interna completa que simula la auditoría de certificación y cerramos todas las no conformidades antes de la visita del organismo acreditado.

04

Auditoría de certificación y seguimiento

Coordinamos la auditoría con el organismo de certificación elegido y actuamos como punto de apoyo técnico durante las jornadas de auditoría. Una vez obtenido el certificado, te acompañamos en las auditorías de seguimiento anuales y en la renovación trienal.

Qué incluye

Qué incluye ISO 27701.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Diagnóstico GAP ISO 27701:2025

    Informe de situación inicial con brechas cuantificadas respecto a los requisitos de la norma y el RGPD, con hoja de ruta priorizada.

  • Registro de actividades de tratamiento

    Elaboración o revisión del RAT completo (controlador y encargado) con base legal, plazos de conservación y transferencias internacionales documentadas.

  • Política y controles de privacidad

    Política corporativa de privacidad, procedimientos de ejercicio de derechos ARSLOP, cláusulas informativas y contratos de encargo de tratamiento.

  • Evaluación de Impacto (EIPD)

    Metodología y ejecución de EIPDs para tratamientos de alto riesgo: videovigilancia, perfilado, datos sensibles o tratamientos a gran escala.

  • Gestión de brechas y respuesta a incidentes

    Protocolo de detección, notificación a la AEPD en 72 horas y comunicación a interesados, alineado con el artículo 33 y 34 del RGPD.

  • Auditoría interna y pre-auditoría

    Auditoría interna documentada con informe de no conformidades y simulacro de auditoría de certificación antes de la visita del organismo acreditado.

Preguntas frecuentes sobre ISO 27701.

¿ISO 27701:2025 obliga a tener antes ISO 27001?

No. La edición 2025 convierte ISO 27701 en un estándar independiente: puedes certificar el PIMS sin tener ISO 27001. Si ya tienes ISO 27001, la integración de ambas normas es natural y reduce la carga auditora, pero ya no es un requisito previo obligatorio.

¿Certifica ISO 27701 el cumplimiento del RGPD?

ISO 27701 no es un mecanismo de certificación del RGPD en el sentido del artículo 42 de ese reglamento, pero demuestra un nivel de madurez muy elevado en la gestión de privacidad. El Anexo D de la norma relaciona explícitamente cada control con los artículos del RGPD, lo que facilita mucho la demostración ante la AEPD de que los tratamientos se realizan conforme a la normativa.

¿Cuánto tiempo lleva implantar y certificar ISO 27701?

Para una pyme o mediana empresa que parte de cero, el proceso completo —diagnóstico, implantación del PIMS, auditoría interna y auditoría de certificación— suele situarse entre 5 y 8 meses. Si la organización ya tiene ISO 27001 o un programa de privacidad estructurado, el plazo puede ser menor.

Tenemos ya certificado ISO 27701:2019. ¿Cuándo debemos transitar a la versión 2025?

El plazo oficial de transición es hasta octubre de 2028. No obstante, recomendamos planificar la migración con antelación suficiente para evitar urgencias en auditorías de renovación. La nueva versión refuerza los controles de IA y ecosistemas digitales, áreas de creciente relevancia para cualquier organización.

¿Qué relación tiene ISO 27701 con la figura del DPO?

ISO 27701 no exige formalmente un DPO, pero el sistema de gestión de privacidad que define requiere una función de privacidad con responsabilidades claras. Si tu empresa está obligada por el RGPD a designar un DPO, este rol encaja directamente en la estructura del PIMS. Nuestro equipo puede orientarte sobre la obligatoriedad del DPO en tu caso concreto.