Qué es ISO 27701: Guía Completa Privacidad de la Información | GRC360

La protección de los datos personales se ha convertido en una de las preocupaciones centrales para las organizaciones en todo el mundo. Con la entrada en vigor de regulaciones cada vez más estrictas —desde el GDPR europeo hasta la Ley 21.719 en Chile— las empresas necesitan un marco sistemático para gestionar la privacidad de la información. ISO 27701 es la norma internacional diseñada precisamente para este propósito, actuando como una extensión natural de ISO 27001 que agrega controles específicos de privacidad.

En esta guía completa exploraremos qué es ISO 27701, cómo se estructura, cuáles son sus requisitos fundamentales y por qué es una herramienta estratégica para las empresas que procesan datos personales en Chile y buscan demostrar conformidad regulatoria ante la nueva legislación de protección de datos.

¿Qué es ISO 27701 y para qué sirve?

ISO 27701:2019 es una norma internacional publicada por la International Organization for Standardization que especifica los requisitos y proporciona directrices para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (SGIP o PIMS por sus siglas en inglés). No es una norma independiente: funciona como una extensión de ISO 27001 e ISO 27002, agregando requisitos y controles adicionales específicamente diseñados para la gestión de datos personales.

El SGIP integra la protección de la privacidad dentro del Sistema de Gestión de Seguridad de la Información (SGSI), lo que significa que las organizaciones que ya tienen implementado ISO 27001 cuentan con una base sólida sobre la cual construir su sistema de gestión de privacidad. Para quienes están comenzando desde cero, ISO 27701 exige implementar primero los requisitos de ISO 27001.

Dato clave: ISO 27701 aplica tanto a organizaciones que actúan como controladores de datos personales (quienes determinan los fines y medios del tratamiento) como a procesadores de datos personales (quienes tratan datos por cuenta de un controlador). Cada rol tiene controles específicos dentro de la norma.

Estructura de ISO 27701

La norma se organiza en cláusulas y anexos que extienden los requisitos de ISO 27001 e ISO 27002:

Sección	Contenido	Descripción
Cláusulas 5-8	Requisitos PIMS	Extienden las cláusulas 4-10 de ISO 27001 con requisitos adicionales de privacidad
Anexo A	Controles para controladores	Controles específicos para organizaciones que determinan los fines del tratamiento de datos personales
Anexo B	Controles para procesadores	Controles específicos para organizaciones que tratan datos por cuenta de otros
Anexo C	Mapeo con ISO 29100	Correspondencia con los principios de privacidad de ISO 29100
Anexo D	Mapeo con GDPR	Correspondencia detallada entre controles de ISO 27701 y artículos del GDPR europeo
Anexo E	Mapeo con ISO 27018 e ISO 29151	Relación con otras normas de privacidad existentes
Anexo F	Extensión de ISO 27002	Guía de implementación ampliada para los controles de privacidad

Requisitos clave del SGIP

Contexto de la organización ampliado

ISO 27701 requiere que la organización identifique su rol como controlador o procesador de datos personales (o ambos), determine la legislación de protección de datos aplicable, identifique a los titulares de datos como partes interesadas y defina el alcance del SGIP incluyendo los tipos de datos personales tratados y las actividades de procesamiento.

Liderazgo y compromiso con la privacidad

La alta dirección debe integrar los requisitos de privacidad en la política de seguridad de la información, asignar responsabilidades claras para la protección de datos personales y asegurar que el SGIP cuente con los recursos necesarios. En muchos casos, esto implica designar un Delegado de Protección de Datos (DPO) o equivalente.

Evaluación de riesgos de privacidad

La evaluación de riesgos de ISO 27001 se extiende para incluir riesgos específicos de privacidad: acceso no autorizado a datos personales, recopilación excesiva, retención innecesaria, transferencias internacionales sin garantías adecuadas y falta de base legal para el tratamiento. Estas evaluaciones deben considerar tanto el impacto para la organización como el impacto para los titulares de los datos.

Controles operacionales de privacidad

Más allá de los controles de seguridad de ISO 27001, el SGIP implementa controles como gestión del consentimiento, evaluaciones de impacto en privacidad (PIA/DPIA), procedimientos para el ejercicio de derechos ARCO, registros de actividades de tratamiento, acuerdos de procesamiento de datos con terceros, y mecanismos de notificación de brechas de datos personales.

ISO 27701 y la legislación chilena

Chile ha dado un paso significativo con la Ley 21.719 de Protección de Datos Personales, que moderniza el marco regulatorio alineándolo con estándares internacionales. ISO 27701 se convierte en un aliado estratégico para cumplir con esta nueva regulación porque:

Principio de responsabilidad proactiva: La ley exige demostrar que se han adoptado medidas técnicas y organizativas para proteger datos personales. Un SGIP certificado es la evidencia más sólida de cumplimiento
Derechos de los titulares: ISO 27701 incluye controles específicos para gestionar solicitudes de acceso, rectificación, supresión y portabilidad de datos
Evaluaciones de impacto: La norma requiere evaluaciones de impacto en privacidad, alineadas con los requisitos de la ley chilena
Transferencias internacionales: Los controles cubren las garantías necesarias para transferir datos personales fuera de Chile
Notificación de brechas: Los procedimientos de gestión de incidentes del SGIP se alinean con las obligaciones de notificación de la nueva ley

Para un análisis detallado de cómo ISO 27701 se complementa con la legislación chilena, consulta nuestro artículo sobre ISO 27701 y la Ley 21.719.

Importante: La Ley 21.719 contempla sanciones significativas por infracciones a la protección de datos personales. Implementar un SGIP conforme a ISO 27701 no solo demuestra diligencia debida ante la Agencia de Protección de Datos Personales, sino que puede actuar como atenuante en caso de procedimientos sancionatorios.

Diferencia entre ISO 27001 e ISO 27701

Es fundamental entender que ISO 27701 no reemplaza a ISO 27001, sino que la complementa:

Aspecto	ISO 27001	ISO 27701
Enfoque	Seguridad de la información (confidencialidad, integridad, disponibilidad)	Privacidad de datos personales (derechos de titulares, tratamiento lícito)
Alcance	Todos los activos de información	Datos personales específicamente
Controles	93 controles del Anexo A (ISO 27001:2022)	Controles adicionales para controladores y procesadores
Independencia	Norma certificable de forma independiente	Requiere ISO 27001 como base (extensión)
Evaluación de riesgos	Riesgos para la organización	Riesgos para la organización + riesgos para los titulares de datos
Partes interesadas	Clientes, reguladores, accionistas	Agrega titulares de datos como parte interesada clave

Para profundizar en cómo extender tu sistema existente, revisa nuestra guía sobre cómo extender tu SGSI con ISO 27701.

Pasos para implementar ISO 27701

Paso 1: Evaluar la madurez del SGSI existente

Antes de agregar la capa de privacidad, asegúrate de que tu SGSI conforme a ISO 27001 esté funcionando correctamente. ISO 27701 asume que los controles de seguridad de la información ya están implementados.

Paso 2: Inventario de datos personales

Realiza un inventario completo de los datos personales que tu organización recopila, almacena, procesa y comparte. Identifica las categorías de datos, los titulares afectados, las bases legales del tratamiento y los flujos de datos internos y externos.

Paso 3: Análisis de brechas

Compara tus prácticas actuales de privacidad con los requisitos de ISO 27701, identificando brechas en políticas, procedimientos, controles técnicos y documentación. Este análisis debe cubrir tanto los requisitos para controladores como para procesadores, según corresponda.

Paso 4: Implementar controles de privacidad

Desarrolla e implementa los controles de privacidad específicos: políticas de privacidad, procedimientos de consentimiento, mecanismos para ejercicio de derechos, evaluaciones de impacto en privacidad, acuerdos con procesadores de datos y procedimientos de notificación de brechas.

Paso 5: Integración y auditoría

Integra los controles de privacidad con tu SGSI existente, capacita al personal, realiza auditorías internas del SGIP y prepárate para la certificación con un organismo acreditado.

¿Quién necesita ISO 27701?

ISO 27701 es especialmente relevante para organizaciones que procesan volúmenes significativos de datos personales, operan en sectores regulados como salud, financiero o educación, prestan servicios a clientes europeos o internacionales, actúan como procesadores de datos para otras organizaciones, o buscan demostrar cumplimiento con la Ley 21.719 de forma estructurada.

Las empresas del sector salud, por la naturaleza sensible de los datos que manejan, encuentran en ISO 27701 una herramienta particularmente valiosa. Consulta nuestra guía sobre ISO 27701 para empresas que manejan datos de salud.

Buena práctica: Si tu organización ya tiene ISO 27001 certificado, agregar ISO 27701 es significativamente más eficiente que implementar ambos sistemas desde cero. Aprovecha las estructuras, procesos y cultura de seguridad que ya has construido como base para tu sistema de privacidad.

Gestiona la privacidad con GRC360

GRC360 te permite implementar y mantener tu Sistema de Gestión de Privacidad ISO 27701 integrado con ISO 27001, gestionando inventarios de datos personales, evaluaciones de impacto y cumplimiento regulatorio desde una sola plataforma.

Crear Cuenta Gratis

Continúa tu aprendizaje con nuestras guías sobre ISO 27701 vs GDPR, controles de privacidad en ISO 27701 y ISO 27701 y la Ley 21.719 de Chile.

Qué es ISO 27701: gestión de privacidad de la información