ISO 27701

Cómo extender tu SGSI ISO 27001 con ISO 27701

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Diagrama de extensión del SGSI ISO 27001 con ISO 27701

Si tu organización ya cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) certificado conforme a ISO 27001, extenderlo con ISO 27701 es el camino más eficiente para establecer un sistema robusto de gestión de privacidad. En lugar de crear un sistema paralelo, ISO 27701 se construye directamente sobre los procesos, controles y cultura de seguridad que ya tienes implementados.

En esta guía te explicamos paso a paso cómo realizar esta extensión, qué documentación adicional necesitas y cuáles son las consideraciones clave para lograr una integración exitosa.

¿Por qué ISO 27701 es una extensión y no una norma independiente?

ISO 27701 fue diseñada intencionalmente como extensión de ISO 27001 porque la privacidad de datos y la seguridad de la información son disciplinas inseparables. No se puede proteger la privacidad sin garantizar la seguridad de los datos. Al mismo tiempo, la seguridad de la información es necesaria pero no suficiente: hay aspectos de privacidad (como la licitud del tratamiento, el consentimiento o los derechos de los titulares) que van más allá del ámbito de ISO 27001.

Esta arquitectura tiene implicaciones prácticas importantes. La más relevante es que no se puede certificar ISO 27701 sin tener ISO 27001. Los organismos de certificación evalúan ambos sistemas como una unidad integrada. Las auditorías son combinadas y la certificación se emite como una extensión del certificado ISO 27001 existente.

Dato clave: Si estás comenzando desde cero, puedes implementar ISO 27001 e ISO 27701 simultáneamente. Esto es más eficiente que hacerlo en dos fases separadas, ya que muchas decisiones de diseño del SGSI se ven influenciadas por los requisitos de privacidad.

Análisis de brechas: qué le falta a tu SGSI para cumplir con ISO 27701

El primer paso es realizar un análisis de brechas que compare tu SGSI actual con los requisitos adicionales de ISO 27701. Las principales áreas donde encontrarás diferencias son:

Elemento del SGSIQué ya tienes (ISO 27001)Qué necesitas agregar (ISO 27701)
AlcanceActivos de información definidosTipos de datos personales, roles (controlador/procesador), actividades de tratamiento
Partes interesadasClientes, reguladores, empleadosTitulares de datos personales como parte interesada explícita
PolíticaPolítica de seguridad de la informaciónExtensión con compromisos de privacidad, principios de tratamiento de datos
Evaluación de riesgosRiesgos para la organizaciónRiesgos para los titulares de datos, impacto en derechos y libertades
Controles93 controles del Anexo AControles adicionales de los Anexos A y B de ISO 27701
DocumentaciónDeclaración de aplicabilidad, procedimientos de seguridadRegistros de actividades de tratamiento, PIA, políticas de retención
IncidentesGestión de incidentes de seguridadProcedimientos específicos de notificación de brechas de datos personales

Pasos para la extensión

Paso 1: Inventario de datos personales

Crea un registro completo de los datos personales que tu organización trata. Para cada categoría de datos, documenta los tipos de datos personales recopilados, los titulares afectados (empleados, clientes, proveedores), la base legal del tratamiento (consentimiento, contrato, interés legítimo, obligación legal), los fines específicos del tratamiento, los períodos de retención y los terceros con quienes se comparten los datos.

Paso 2: Determinar tu rol

Identifica si tu organización actúa como controlador, procesador o ambos para cada actividad de tratamiento. Esto es fundamental porque ISO 27701 tiene controles diferentes para cada rol. En muchos casos, una misma organización actúa como controlador para los datos de sus empleados y como procesador para los datos de los clientes de sus clientes.

Paso 3: Extender la evaluación de riesgos

Tu metodología de evaluación de riesgos debe ampliarse para considerar el impacto en los titulares de datos. Un riesgo que podría ser menor para la organización (por ejemplo, una filtración de correos electrónicos) puede tener un impacto significativo en las personas afectadas. Las evaluaciones de impacto en privacidad (PIA/DPIA) son el instrumento formal para este análisis.

Paso 4: Implementar controles de privacidad adicionales

Desarrolla e implementa los controles de los Anexos A y B de ISO 27701 que sean aplicables según tu rol y contexto. Consulta nuestra guía detallada sobre controles de privacidad en ISO 27701 para una descripción de cada control.

Paso 5: Actualizar la documentación del SGSI

Revisa y actualiza los documentos existentes del SGSI para incorporar los requisitos de privacidad. Esto incluye la política integrada de seguridad y privacidad, la declaración de aplicabilidad ampliada con controles de ISO 27701, los procedimientos de gestión de incidentes con el componente de notificación de brechas, y los acuerdos con procesadores y subprocesadores de datos.

Paso 6: Capacitar al equipo

El personal involucrado en el tratamiento de datos personales debe comprender tanto los requisitos de seguridad como los de privacidad. Diseña programas de capacitación que cubran los principios de tratamiento de datos, los derechos de los titulares, los procedimientos internos para gestionar solicitudes de derechos, y la identificación y reporte de posibles brechas de datos personales.

Documentación adicional requerida

Además de los documentos que ya tienes para ISO 27001, ISO 27701 requiere mantener un registro de actividades de tratamiento de datos personales, políticas de retención y eliminación de datos personales, procedimientos para el ejercicio de derechos de los titulares, plantillas de evaluación de impacto en privacidad, cláusulas contractuales y acuerdos de procesamiento de datos, y el aviso de privacidad alineado con los requisitos legales aplicables.

Error común: Muchas organizaciones intentan crear documentación separada para privacidad, generando un sistema paralelo que es difícil de mantener. La mejor práctica es integrar los requisitos de privacidad en los documentos existentes del SGSI siempre que sea posible.

Auditoría combinada ISO 27001 + ISO 27701

La auditoría de certificación se realiza de forma combinada. El equipo auditor evaluará tanto los requisitos de ISO 27001 como los de ISO 27701 en un solo proceso, aunque los hallazgos se reportan por separado. La duración de la auditoría será mayor que la de ISO 27001 sola, pero significativamente menor que dos auditorías independientes. Para prepararte adecuadamente, revisa nuestras guías sobre mejores prácticas de auditoría interna.

Cronograma típico de extensión

Para una organización con un SGSI maduro y certificado, la extensión a ISO 27701 típicamente requiere entre tres y seis meses de trabajo activo. Las variables principales que afectan el cronograma son el volumen y complejidad de los datos personales tratados, el número de actividades de tratamiento diferentes, la cantidad de procesadores y subprocesadores externos, y la madurez de las prácticas de privacidad existentes.

Buena práctica: Comienza por las actividades de tratamiento de mayor riesgo o volumen. No intentes cubrir todas las actividades simultáneamente. Un enfoque incremental basado en riesgos es más eficiente y alineado con la filosofía de ISO 27701.

Extiende tu SGSI con GRC360

GRC360 te permite gestionar tu SGSI ISO 27001 y extenderlo con los controles de privacidad de ISO 27701, manteniendo todo integrado en una sola plataforma con trazabilidad completa.

Crear Cuenta Gratis
Certificación ISO 27701 Privacidad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis