Volver a página de inicio

El 28 de enero, Día Internacional de la Protección de Datos, nos recuerda la importancia de gestionar de manera responsable la información personal en un mundo cada vez más digital, conectado y sin fronteras.

En este contexto, la nueva norma ISO/IEC 27701 está llamada a consolidarse como una herramienta clave para las organizaciones que buscan implantar un Sistema de Gestión sobre la Privacidad de la Información (SGPI), independiente y adaptable, sin necesidad de depender de la ISO/IEC 27001.

Y es que la nueva ISO/IEC 27701, que se espera para este año 2025, es mucho más que una extensión de normas anteriores. Este estándar establece un marco propio para que cualquier organización, sin importar su tamaño o sector, gestione la privacidad de forma eficiente y conforme a las regulaciones globales y facilite el cumplimiento del Reglamento General de Protección de Datos (LA LEY 6637/2016).

1. ¿Qué es la ISO/IEC 27701?

En el año 2019 se publicó la ISO/IEC 27701:2019 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. Ese fue el año de su nacimiento y primera edición.

La ISO/IEC 27701 es un estándar internacional diseñado para establecer, implementar y mantener un sistema de gestión centrado exclusivamente en la privacidad y la protección de datos personales. A diferencia de la ISO 27701 actual, esta futura norma no requerirá de la implementación previa de la ISO/IEC 27001, lo que la convierte en una herramienta autónoma y accesible para cualquier organización interesada en gestionar de manera efectiva los riesgos de privacidad y disponer de un sistema independiente que le permita atender los requisitos que marca la normativa de protección de datos de forma solvente y eficaz.

Este nuevo estándar, además, es una respuesta concreta a los artículos del RGPD «24. Responsabilidad del responsable del tratamiento» y «42. Certificación» para dotar de capacidad de certificación de tercera parte a los sistemas de gestión de la privacidad de las organizaciones. Dicha certificación ya era aceptada en la Unión Europea a través de la adopción de la UNE-EN 17926:2023 Sistema de gestión de información de privacidad según la norma ISO/IEC 27701. Mejoras en el contexto europeo (Ratificada por la Asociación Española de Normalización en enero de 2024) con el fin de adecuarlo al perfil concreto de requisitos del RGPD.

Este nuevo enfoque hace que la próxima ISO/IEC 27701 sea una solución ideal tanto para organizaciones que buscan una certificación inicial en privacidad como para aquellas que desean mejorar su estrategia actual sin necesidad de adoptar un Sistema de Gestión de Seguridad de la Información (SGSI) previamente.

Con esta nueva estructura autónoma de la norma se da un gran paso para que las organizaciones puedan implantar, gestionar y certificar un Sistema de Gestión sobre la Privacidad de la Información que les permita atender sus responsabilidades en relación al tratamiento de los datos personales y dar confianza a los terceros de su responsabilidad y buen hacer en este ámbito.

2. Principales características de la nueva ISO/IEC 27701

Las principales características de esta nueva norma son las siguientes:

• 1. Independencia operativa: A diferencia de la versión actual que posiciona a la ISO/IEC 27701:2019 como una extensión de la ISO/IEC 27001, la nueva norma será completamente autónoma. Esto significa que una organización puede implementar el estándar desde cero, sin depender de otro sistema de gestión.
• 2. Adaptabilidad a roles específicos: La norma distingue entre los diferentes roles en el tratamiento de datos personales:
  • • Responsables del tratamiento: Aquellas organizaciones que determinan los fines y medios del tratamiento de datos personales.
  • • Encargados del tratamiento: Entidades que tratan datos personales por cuenta de un responsable.
• 3. Cumplimiento normativo global: La nueva ISO/IEC 27701:2025 estará diseñada para alinearse con normativas internacionales de privacidad, como el RGPD y otras legislaciones emergentes. Esto la convierte en un estándar universalmente aplicable que facilita la gestión de requisitos regulatorios diversos en materia de protección de datos personales.
• 4. Gestión integral de riesgos de privacidad: El estándar proporciona un enfoque estructurado para identificar, evaluar y mitigar los riesgos para los derechos y libertades de las personas, asegurando que las organizaciones protejan la información personal de manera proactiva.
• 5. Controles prácticos y específicos: A la estructura de alto nivel típica de las Normas ISO, con sus diez cláusulas características, le acompañarán algunos anexos:
  • • Anexo A: Objetivos de control y controles de referencia del SGPI para Controladores y Procesadores de Información de Identificación Personal (PII).
  • • Anexo B: Guía de implementación para Controladores y Procesadores de PII.

3. Beneficios de implementar la nueva ISO/IEC 27701

Los beneficios que tiene implantar en las organizaciones la nueva norma son múltiples:

• 1. Cumplimiento normativo simplificado: La norma proporciona un marco coherente y estructurado que facilita el cumplimiento de regulaciones nacionales e internacionales de privacidad, reduciendo el riesgo de sanciones.
• 2. Autonomía y flexibilidad: Al no depender de la ISO/IEC 27001, la ISO/IEC 27701 es una opción flexible para organizaciones que desean centrarse exclusivamente en la privacidad, adaptando su alcance a sus necesidades específicas.
• 3. Confianza reforzada: Implementar un sistema de gestión basado en la ISO/IEC 27701 demuestra a clientes, socios y reguladores que la organización gestiona los datos personales de manera ética y responsable.
• 4. Reducción de riesgos: El estándar ayuda a identificar y mitigar proactivamente los riesgos asociados con la privacidad, desde brechas de datos hasta incumplimientos regulatorios.
• 5. Ventaja competitiva: En un entorno donde la privacidad es una prioridad para los consumidores, contar con una certificación de la ISO/IEC 27701 puede ser un diferenciador clave en el mercado.

4. Conclusiones

La nueva ISO/IEC 27701 representa un avance significativo en la gestión de la privacidad al proporcionar un sistema autónomo y escalable para organizaciones de cualquier tamaño o sector.

Más allá del cumplimiento normativo, este estándar promueve un enfoque ético y responsable en el manejo de datos personales, sentando las bases para un futuro donde la privacidad sea un derecho garantizado y respetado.