Home Normas Sectores ✦ AI Assessment Get a Quote →
HomeNormas → ISO 27701

ISO/IEC 27701 — Privacy Information Management

The international standard for Privacy Information Management Systems (PIMS). ISO 27701 extends ISO 27001 with privacy-specific controls — providing a structured, auditable framework for GDPR, LGPD, PIPEDA, and other privacy regulation compliance.

ISO 27701:2019PIMSGDPR alignmentPrivacy framework

What is ISO/IEC 27701?

ISO/IEC 27701:2019 es una extensión de ISO 27001 e ISO 27002 que especifica requisitos y orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (SGIP). Mapea los controles de privacidad a los roles de Responsables del Tratamiento de Información Personal (PICs) y Encargados del Tratamiento de Información Personal (PIPs).

Relationship to ISO 27001

ISO 27701 no es un estándar independiente: extiende ISO 27001. Las organizaciones deben tener la certificación ISO 27001 (o buscarla simultáneamente) antes de obtener la certificación ISO 27701. El programa integrado comparte el marco de gestión del SGSI, reduciendo significativamente el esfuerzo de implementación y el costo de auditoría en comparación con proyectos separados.

¿Quién necesita ISO 27701?

  • Organisations processing EU personal data under GDPR obligations
  • Cloud service providers and data processors handling customer personal data
  • Healthcare and HR technology platforms
  • Financial services firms subject to multiple privacy jurisdiction requirements
  • Any organisation seeking to demonstrate accountability under Article 5(2) GDPR

ISO 27701 and GDPR Compliance

Si bien la certificación ISO 27701 no constituye prueba legal de cumplimiento del GDPR, proporciona un marco documentado e independientemente auditado que mapea directamente a las obligaciones de responsabilidad del GDPR. Las autoridades de supervisión y los delegados de protección de datos reconocen ampliamente ISO 27701 como una medida de responsabilidad sólida bajo el Artículo 24 del GDPR.

Key Control Areas

  • Privacy conditions for collection and processing of personal information
  • Obligations to individuals (data subjects): transparency, access, correction, deletion
  • Privacy by design and default in system and process design
  • Data transfer controls including cross-border transfer mechanisms
  • Processor and sub-processor management under Article 28 GDPR
  • Data breach notification procedures aligned with 72-hour GDPR requirement

Cronograma típico

Para organizaciones que ya tienen ISO 27001: 2–3 meses para añadir la certificación ISO 27701. Para organizaciones que buscan ISO 27001 + ISO 27701 simultáneamente: 4–6 meses.