ISO 27701

Controles de privacidad en ISO 27701

Por Equipo GRC360 20 de March, 2026 14 min de lectura
Diagrama de controles de privacidad en los Anexos A y B de ISO 27701

Los controles de privacidad son el corazón operativo de ISO 27701. Mientras que ISO 27001 proporciona los controles de seguridad de la información, ISO 27701 agrega controles específicos para la gestión de datos personales, diferenciando entre los roles de controlador y procesador. Comprender estos controles es esencial para diseñar e implementar un Sistema de Gestión de Información de Privacidad (SGIP) eficaz.

Estructura de los controles de ISO 27701

ISO 27701 organiza sus controles de privacidad en dos anexos principales, cada uno dirigido a un rol específico dentro del tratamiento de datos personales:

AnexoRolSeccionesEnfoque
Anexo AControlador de datos (PII Controller)A.7.2 a A.7.5Obligaciones de quien determina los fines y medios del tratamiento
Anexo BProcesador de datos (PII Processor)B.8.2 a B.8.5Obligaciones de quien trata datos por cuenta de un controlador

Además, ISO 27701 extiende los controles existentes de ISO 27002 agregando consideraciones de privacidad a cada control de seguridad. Esto se documenta en la Cláusula 6 de la norma, que revisa cada control de ISO 27002 y agrega guía específica de implementación cuando la privacidad es relevante.

Controles del Anexo A: Controlador de datos personales

A.7.2 — Condiciones para la recopilación y el tratamiento

Esta sección establece los controles fundamentales para asegurar que el tratamiento de datos personales se realice de forma lícita:

  • A.7.2.1 Identificar y documentar el propósito: Documentar los fines específicos del tratamiento antes de recopilar datos
  • A.7.2.2 Identificar la base legal: Determinar y documentar la base jurídica de cada actividad de tratamiento (consentimiento, contrato, obligación legal, interés legítimo)
  • A.7.2.3 Determinar cuándo y cómo se obtiene el consentimiento: Establecer mecanismos claros de consentimiento libre, específico, informado e inequívoco
  • A.7.2.4 Obtener y registrar el consentimiento: Implementar sistemas para capturar, almacenar y verificar la evidencia de consentimiento
  • A.7.2.5 Evaluación de impacto en privacidad: Realizar evaluaciones cuando el tratamiento pueda generar riesgos elevados para los titulares
  • A.7.2.6 Contratos con procesadores: Establecer acuerdos formales con los procesadores que tratan datos por cuenta del controlador
  • A.7.2.7 Controlador conjunto: Definir responsabilidades cuando dos o más organizaciones determinan conjuntamente los fines del tratamiento
  • A.7.2.8 Registros relacionados con el tratamiento: Mantener registros de actividades de tratamiento completos y actualizados

A.7.3 — Obligaciones hacia los titulares de datos

Los controles de esta sección se alinean directamente con los derechos ARCO y los requisitos tanto del GDPR como de la Ley 21.719 de Chile:

  • A.7.3.1 Determinar y cumplir obligaciones: Identificar todas las obligaciones hacia los titulares según la legislación aplicable
  • A.7.3.2 Proporcionar información a los titulares: Avisos de privacidad claros, completos y accesibles
  • A.7.3.3 Proporcionar mecanismo para modificar o retirar consentimiento: Facilitar la revocación del consentimiento de forma tan sencilla como su otorgamiento
  • A.7.3.4 Proporcionar mecanismo para acceso y rectificación: Procedimientos para que los titulares accedan a sus datos y soliciten correcciones
  • A.7.3.5 Proporcionar mecanismo para supresión: Procesos de eliminación o anonimización de datos cuando el titular lo solicite
  • A.7.3.6 Proporcionar mecanismo para oposición al tratamiento: Permitir que los titulares se opongan a tratamientos específicos
  • A.7.3.7 Portabilidad de datos: Facilitar la entrega de datos en formatos estructurados y legibles
  • A.7.3.8 Gestionar quejas y reclamaciones: Establecer canales efectivos para recibir y resolver quejas

A.7.4 — Privacidad por diseño y por defecto

  • A.7.4.1 Minimización de datos: Recopilar solo los datos estrictamente necesarios para el fin declarado
  • A.7.4.2 Limitar el tratamiento: No utilizar datos para fines incompatibles con los originalmente declarados
  • A.7.4.3 Exactitud y calidad: Mantener los datos precisos y actualizados
  • A.7.4.4 Objetivos de minimización: Establecer políticas de retención con plazos definidos
  • A.7.4.5 Eliminación temporal y final: Procedimientos de eliminación segura al cumplir los plazos de retención
  • A.7.4.6 Controles de transmisión: Mecanismos seguros para la transferencia de datos personales
  • A.7.4.7 Datos personales compartidos, transferidos o divulgados: Documentar las divulgaciones y asegurar garantías adecuadas

A.7.5 — Compartir, transferir y divulgar datos personales

  • A.7.5.1 Identificar las bases para la transferencia: Documentar la base legal para cada transferencia a terceros o a otros países
  • A.7.5.2 Países y organizaciones de transferencia: Registrar los destinos y verificar las garantías de protección
  • A.7.5.3 Registros de divulgación: Mantener un registro auditable de todas las divulgaciones de datos personales
  • A.7.5.4 Notificación de solicitudes de divulgación: Informar al controlador cuando un procesador recibe solicitudes de autoridades
Dato clave: No todos los controles del Anexo A son aplicables a todas las organizaciones. Al igual que con el Anexo A de ISO 27001, la organización debe realizar una evaluación y justificar en la Declaración de Aplicabilidad cuáles controles aplica y cuáles no.

Controles del Anexo B: Procesador de datos personales

Si tu organización actúa como procesador (por ejemplo, una empresa SaaS que procesa datos de los clientes de sus clientes), los controles del Anexo B son los relevantes. Estos incluyen obligaciones como tratar los datos solo según las instrucciones documentadas del controlador, implementar medidas de seguridad adecuadas, asistir al controlador en el ejercicio de derechos de los titulares, gestionar subprocesadores con acuerdos formales, notificar brechas de datos al controlador sin demora injustificada, y devolver o eliminar los datos al finalizar la relación contractual.

Implementación práctica de los controles

La implementación de estos controles debe ser proporcional al riesgo del tratamiento y al volumen de datos personales gestionados. Para organizaciones que manejan datos sensibles o de gran volumen, los controles deben ser más robustos. La evaluación de riesgos de privacidad, integrada con la evaluación de riesgos del SGSI, guía la priorización y profundidad de la implementación.

Buena práctica: Crea una matriz de trazabilidad que vincule cada control de ISO 27701 con los requisitos regulatorios aplicables (Ley 21.719, GDPR si aplica) y con los procedimientos internos que los implementan. Esto facilita las auditorías y demuestra cumplimiento de forma estructurada.

Gestiona los controles de privacidad con GRC360

GRC360 incluye los controles de ISO 27701 predefinidos, con guías de implementación, matrices de trazabilidad regulatoria y seguimiento de cumplimiento automatizado para controladores y procesadores.

Crear Cuenta Gratis

Para entender cómo estos controles se integran con tu SGSI existente, consulta cómo extender tu SGSI con ISO 27701 y el mapeo con la regulación en ISO 27701 vs GDPR.

Certificación ISO 27701 Privacidad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis