Tabla de Contenidos
Qué es ISO 27701 y por qué importa
ISO/IEC 27701:2019 es una norma certificable que extiende ISO/IEC 27001 e ISO/IEC 27002 con requisitos específicos para gestionar la privacidad de información personal identificable (PII). Su nombre completo: "Security techniques · Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management · Requirements and guidelines".
Lo crítico: ISO 27701 NO es independiente. Solo se puede certificar si la organización tiene (o implementa simultáneamente) un Sistema de Gestión de Seguridad de la Información (SGSI) bajo ISO 27001. Esto convierte a ISO 27701 en una extensión natural · no en una alternativa.
El driver de adopción son las regulaciones de privacidad que cada vez son más estrictas y similares entre jurisdicciones. Una organización con ISO 27701 certificado simplifica su cumplimiento ante GDPR (UE), LGPD (Brasil), Ley 25.326 (Argentina), CCPA (California), HIPAA (USA salud) y otras.
Cobertura GDPR · LGPD · Ley 25.326
ISO 27701 fue diseñada con foco en GDPR (que es la regulación más estricta del mundo). La cobertura aproximada por regulación:
| Regulación | Jurisdicción | Cobertura ISO 27701 | Multas máximas |
|---|---|---|---|
| GDPR | UE + extraterritorial | ~75% | €20M o 4% facturación |
| LGPD | Brasil + extraterritorial | ~80% | R$ 50M (~USD 10M) |
| Ley 25.326 | Argentina | ~85% | ARS 5M (variable inflación) |
| CCPA / CPRA | California (USA) | ~70% | USD 7.500/violación |
| HIPAA | USA salud | ~60% | USD 1.5M/violación/año |
| Ley 1581 | Colombia | ~80% | 2.000 SMMLV |
Lo que ISO 27701 NO cubre por sí sola y requiere implementación adicional: notificación de brechas en plazos legales (72h GDPR, varía LGPD), DPIA (Data Protection Impact Assessment) específicas por jurisdicción, atención formal a derechos del titular (acceso, rectificación, supresión, portabilidad, oposición), nombramiento de DPO cuando la regulación lo exige.
Requisitos clave de ISO 27701
La norma agrega 4 áreas sobre la base de ISO 27001:
- Anexo A.7 (PII Controllers) · 31 controles específicos para entidades que actúan como Controladores · obligaciones, consentimiento, derechos del titular, transferencias internacionales, vinculación con procesadores.
- Anexo A.8 (PII Processors) · 18 controles específicos para entidades que actúan como Procesadores · contratos con Controller, obligaciones de seguridad heredadas, transferencias.
- Cláusulas 5-8 extendidas · contexto, liderazgo, planificación y soporte tienen requerimientos adicionales relacionados con privacidad (ej · roles de privacidad documentados, consideración de partes interesadas titulares de datos).
- Operación + monitoreo · controles operacionales específicos · gestión de incidentes con foco PII, comunicación con autoridades de protección, gestión de transferencias internacionales.
Implementación 6-9 meses
Para una PyME tech con ISO 27001 ya certificado:
- Mes 1 · Mapeo de flujos de datos personales · roles Controller/Processor · jurisdicciones aplicables
- Mes 2-3 · Política de privacidad · matriz de tratamiento · evaluación DPIA para tratamientos de alto riesgo
- Mes 4-5 · Procedimientos · derechos del titular · gestión de brechas · transferencias internacionales · contratos con processors
- Mes 6 · Capacitación · primer ciclo de auditoría interna del PIMS
- Mes 7-8 · Auditoría externa G-CERTI (en bloque integrado con ISO 27001 si vence ciclo) · cierre de NCs · emisión del certificado
Si la empresa NO tiene ISO 27001 previo, hay que implementar las dos en paralelo · plazo total 9-12 meses · costo combinado más eficiente que en serie.
Costos típicos LATAM 2026
| Escenario | Implementación | Auditoría G-CERTI | Plazo |
|---|---|---|---|
| PyME (≤50) con ISO 27001 previo · agrega 27701 | USD 5.500-9.500 | USD 4.500-7.500 | 6-9 meses |
| PyME desde cero · 27001 + 27701 paralelo | USD 14.000-22.000 | USD 12.000-18.000 | 9-12 meses |
| Mediana (50-200) · 27001 + 27701 | USD 22.000-38.000 | USD 18.000-28.000 | 10-14 meses |
Conclusión · cuándo conviene
ISO 27701 es prioridad para empresas con al menos uno de estos drivers:
- Operación de datos personales en escala (>100K titulares)
- Exportación de servicios o productos a UE (GDPR es el driver)
- Sector regulado (salud, fintech, banca, ed-tech)
- Cliente B2B exige evidencia de gestión de privacidad
- Sufrió o quiere prevenir incidente de privacidad significativo
Para empresas tech serias en LATAM, la trinorma ISO 27001 + ISO 27701 + ISO 22301 es el setup defensivo más completo · seguridad de información + privacidad + continuidad. Tres certificaciones distintas pero integrables en bloque, con auditoría combinada bajo IAF MD 11 cuando el alcance permite integrar jornadas y evidencia.
— Fernando Arrieta, Director Técnico G-CERTI.
Compartir este artículo
Auditor líder
Auditor líder en 6 normas ISO. Representante regional de G-CERTI para el mercado hispanohablante y miembro del International Accreditation Center (IAC). Columnista y voz pública en certificación, cumplimiento, IA y calidad.
