Después de varios meses esperando —a priori iba a publicarse la norma en marzo—, por fin en octubre de 2025 se publicó el estándar ISO/IEC 27701:2025. Esta nueva versión trae una modificación clave: ya no es solo un complemento de la ISO 27001, sino que ahora puede certificarse de forma independiente.

Del complemento a la autonomía

La mayor limitación de la norma ISO 27701:2019 radicaba en que necesitaba implementarse como extensión de la ISO 27001. Varias organizaciones enfocadas principalmente en privacidad tenían que pasar antes por una certificación en seguridad de la información.

Desde la edición 2025, las organizaciones pueden obtener el sello ISO 27701 sin contar previamente con la ISO 27001, abriendo paso a más entidades hacia un sistema claro de gestión de privacidad. No obstante, también es posible aplicar ambas normas de forma integrada.

Principales novedades

La actualización sigue el formato High Level Service (HLS) usado en todas las normas ISO, dividida en 11 cláusulas principales y anexos complementarios. Así resulta más sencillo integrarla con normas como la ISO 27001 o la ISO 42001 sobre inteligencia artificial.

La norma introduce requisitos explícitos para revisar y gestionar riesgos de privacidad, integrándolos con los de seguridad de la información en un análisis de dos niveles: uno para la organización y otro enfocado a los interesados. Este enfoque resulta especialmente relevante en España, donde hay que ajustarse al RGPD, la LOPDGDD y, frecuentemente, al Esquema Nacional de Seguridad.

La norma exige ahora que las organizaciones establezcan un programa de seguridad de la información según la ISO 27001:2022, cubriendo 15 áreas fundamentales, desde la gestión de riesgos hasta la gestión de incidentes.

Asimismo, toda la guía de implementación está ahora en el Anexo B, separando claramente lo que debe cumplirse durante una auditoría de las recomendaciones prácticas para el día a día.

Implicaciones para los Delegados de Protección de Datos

Para los delegados de protección de datos, esta norma proporciona una guía clara sobre cómo demostrar cumplimiento del RGPD, especialmente del principio de responsabilidad proactiva. El Anexo D incluye un mapeo detallado vinculado a cada artículo del Reglamento.

Ejemplo práctico: si la AEPD revisa cómo gestionamos el ejercicio de derechos, con los controles A.1.3.7 y A.1.3.10 podemos demostrar que tenemos procedimientos documentados para responder a las solicitudes de los interesados.

La norma mantiene prácticamente inalterados los controles para responsables del tratamiento (Tabla A.1) y encargados del tratamiento (Tabla A.2), lo que facilita la transición para organizaciones ya certificadas.

Transición y conclusión

Por todo ello, las organizaciones certificadas acorde al estándar de 2019 necesitan actualizar sus sistemas, enfocándose en la nueva gestión de riesgos de privacidad, documentando el programa de seguridad y reorganizando algunos documentos. No hay que empezar desde cero: gran parte del trabajo previo sigue siendo plenamente válido.

La ISO/IEC 27701:2025 consolida la gestión de la privacidad como un área independiente y madura. Su alineación con el RGPD la convierte en herramienta estratégica para organizaciones que necesitan demostrar, de forma verificable, cómo protegen los datos personales. Independientemente de no ser un requisito legal obligatorio, sigue siendo el principal estándar internacional de referencia para acreditar la madurez de un sistema de gestión de privacidad.

Equipo CdC Privacidad Govertis