Qué es ISO 27701 y cómo se relaciona con ISO 27001
ISO/IEC 27701:2019 es una extensión de ISO 27001 e ISO 27002. No es una norma independiente: requiere que la organización disponga previamente de un SGSI certificado conforme a ISO 27001. A partir de esa base, ISO 27701 añade controles y requisitos específicos para la protección de datos personales, estableciendo lo que la norma denomina un Sistema de Gestión de Información de Privacidad (PIMS).
La norma distingue entre dos roles fundamentales definidos por el RGPD:
- Responsable del tratamiento (controlador): La organización que determina los fines y medios del tratamiento de datos personales. ISO 27701 incluye controles específicos en el Anexo A para este rol.
- Encargado del tratamiento (procesador): La organización que trata datos personales por cuenta del responsable. Los controles específicos para este rol se encuentran en el Anexo B.
Mapeo entre ISO 27701 y el RGPD
Uno de los aspectos más valiosos de ISO 27701 es su Anexo D, que proporciona un mapeo detallado entre los controles de la norma y los artículos del RGPD. Este mapeo no es casual — la norma fue diseñada con el RGPD como referencia principal, aunque es aplicable a cualquier marco regulatorio de privacidad.
| Requisito RGPD | Controles ISO 27701 |
|---|---|
| Art. 5 — Principios del tratamiento | 7.2.1, 7.2.2, 7.4.1 — Identificación de finalidad, base legal y minimización de datos |
| Art. 6 — Licitud del tratamiento | 7.2.2 — Determinación y documentación de la base legal |
| Art. 13-14 — Información al interesado | 7.3.2, 7.3.3 — Obligaciones de información y transparencia |
| Art. 15-22 — Derechos del interesado | 7.3.4 a 7.3.10 — Acceso, rectificación, supresión, portabilidad, oposición |
| Art. 25 — Protección desde el diseño | 7.4.1 a 7.4.9 — Privacidad por diseño y por defecto |
| Art. 28 — Encargado del tratamiento | 7.2.6, 8.2 a 8.5 — Gestión de relaciones con encargados |
| Art. 32 — Seguridad del tratamiento | Controles ISO 27001 + extensiones de ISO 27701 |
| Art. 33-34 — Notificación de brechas | 7.2.7 — Gestión de incidentes de privacidad |
| Art. 35 — Evaluación de impacto | 7.2.5 — Evaluación de impacto en la protección de datos |
Ventajas de la certificación ISO 27701 para el cumplimiento del RGPD
La certificación ISO 27701 ofrece beneficios concretos a las organizaciones que operan bajo el RGPD:
- Demostración de responsabilidad proactiva: El artículo 5.2 del RGPD exige que el responsable sea capaz de demostrar el cumplimiento (principio de responsabilidad proactiva o accountability). Una certificación ISO 27701 emitida por un organismo acreditado constituye una evidencia sólida ante autoridades de protección de datos.
- Mecanismo de certificación reconocido: El artículo 42 del RGPD fomenta la creación de mecanismos de certificación como medio para demostrar el cumplimiento. Aunque ISO 27701 no es aún un mecanismo formal bajo el artículo 42, las autoridades de protección de datos reconocen su valor como evidencia de medidas técnicas y organizativas adecuadas.
- Transferencias internacionales: La certificación facilita la demostración de garantías adecuadas en el contexto de transferencias internacionales de datos personales.
- Ventaja competitiva: En procesos de selección de proveedores, la certificación ISO 27701 simplifica la debida diligencia y genera confianza inmediata en los clientes.
El RGPD establece que la adhesión a mecanismos de certificación aprobados puede utilizarse como elemento para demostrar el cumplimiento de las obligaciones del responsable y del encargado del tratamiento.
Requisitos para la implementación
La implementación de ISO 27701 requiere los siguientes elementos fundamentales:
Prerrequisito: SGSI conforme a ISO 27001. ISO 27701 no puede implementarse de forma aislada. La organización debe contar con un SGSI que cumpla con ISO 27001, ya que los controles de privacidad se construyen sobre la base de los controles de seguridad de la información.
Análisis del alcance de datos personales. Es necesario identificar y documentar todos los tipos de datos personales que trata la organización, los flujos de datos, las finalidades de tratamiento, las bases legales y las relaciones con terceros.
Evaluación de riesgos de privacidad. Además de la evaluación de riesgos de seguridad de la información de ISO 27001, se debe realizar una evaluación específica de los riesgos para los derechos y libertades de las personas físicas.
Implementación de controles específicos. Según el rol de la organización (responsable, encargado o ambos), se deben implementar los controles correspondientes de los Anexos A y B de la norma.
Designación de roles. La norma requiere la designación de un punto de contacto para la protección de datos, que puede coincidir con el Delegado de Protección de Datos (DPO) exigido por el RGPD en ciertos casos.
Proceso de certificación
La certificación ISO 27701 se realiza como extensión de la auditoría ISO 27001. El organismo de certificación evalúa los requisitos adicionales de la norma de privacidad durante la misma auditoría o en una auditoría complementaria. El certificado resultante identifica si la organización está certificada como responsable del tratamiento, encargado del tratamiento o ambos.
Cómo BALTUM le apoya
BALTUM dispone de experiencia especializada en la implementación y certificación de ISO 27701:
- Evaluación de brechas de privacidad: Análisis detallado del estado actual de su organización frente a los requisitos de ISO 27701 y el RGPD.
- Mapeo de tratamientos: Documentación de actividades de tratamiento, flujos de datos y evaluación de bases legales conforme al RGPD.
- Implementación del PIMS: Asistencia en el diseño e implementación de los controles de privacidad sobre su SGSI existente.
- Preparación para la certificación: Auditoría interna y revisión de preparación para garantizar el éxito en la auditoría de certificación.
En un entorno donde la privacidad es tanto una obligación legal como una expectativa de los clientes, ISO 27701 proporciona el puente entre la seguridad de la información y la protección de datos personales.