Revisión de la norma ISO/IEC 27701: Sistema de gestión de la información sobre privacidad

La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) publicaron el 14 de octubre de 2025 una versión revisada e independiente de la norma del sistema de gestión de la información de la privacidad ISO/IEC 27701. Esta versión de 2025 sustituye a la versión de 2019.

Las organizaciones se enfrentan cada vez más al reto de gestionar la complejidad de la protección de datos, desde los controles sobre los datos personales hasta la reducción de los riesgos de brechas de seguridad y el cumplimiento de normativas nacionales e internacionales en constante evolución. La norma ISO/IEC 27701 actualizada ayudará a las empresas a gestionar y mejorar su gestión de la información de la privacidad.

Actualización de ISO/IEC 27701:2019

La nueva versión de ISO/IEC 27701 introduce varias mejoras significativas diseñadas para dar respuesta al cambiante panorama de la privacidad y la seguridad de la información. Los principales cambios son:

• ISO/IEC 27701 pasa a ser una norma independiente, destinada a reforzar aún más los sistemas de gestión de la información de la privacidad (PIMS) en organizaciones de todo el mundo, en lugar de ser una extensión de ISO/IEC 27001.
• Los requisitos y las directrices de implementación de la nueva edición se componen de elementos existentes de las normas ISO/IEC 27701:2019, ISO/IEC 27001:2022 e ISO/IEC 27002:2022.
• La nueva norma está estructurada para integrarse con otros sistemas de gestión existentes, como ISO 9001, ISO/IEC 27001 e ISO 42001.
• La norma incluye ahora controles de privacidad más completos tanto para responsables como para encargados del tratamiento de la Información de Identificación Personal (PII), garantizando una mejor alineación con normativas globales de privacidad como el RGPD.
• Se incorpora orientación mejorada sobre la implementación y el mantenimiento de un PIMS sólido.
• Basándose en su predecesora, la norma actualizada continúa ampliando ISO/IEC 27001 mediante la incorporación de controles específicos de privacidad.

Reglas y plazos de transición

El periodo de transición para las normas ISO suele ser de un máximo de tres años, pero los organismos de acreditación están trabajando en la definición del calendario de transición para las empresas ya certificadas. Dado que ISO/IEC 27701 se convierte en una norma independiente, el IAF está tardando más tiempo en desarrollar las reglas de transición. Publicaremos una actualización aquí en cuanto haya más información disponible.

Preparación para la implementación

Por el momento, estamos a la espera de noticias por parte del IAF sobre el calendario de transición. Por lo tanto, se recomienda esperar antes de iniciar preparativos concretos para la transición hasta que los documentos necesarios hayan avanzado más.

Posteriormente, recomendamos comenzar a prepararse para la transición lo antes posible y planificar adecuadamente la incorporación de los cambios necesarios en su sistema de gestión.

Pasos recomendados para la transición:

• Familiarizarse lo antes posible con los contenidos y requisitos de la nueva norma, ahora que ha sido publicada, teniendo en cuenta que el periodo de transición podría ser de tan solo dos años. Centrarse en los cambios introducidos por la norma revisada.
• Asegurar que el personal relevante de la organización esté formado y comprenda los requisitos y los principales cambios.
• Identificar las brechas que deben abordarse para cumplir los nuevos requisitos y establecer un plan de implementación.
• Implementar las acciones necesarias y actualizar el sistema de gestión para cumplir con los nuevos requisitos.

Cómo podemos ayudar

Una vez que comience a prepararse para la transición a la nueva versión de ISO/IEC 27701, DNV puede acompañarle en todo el proceso.
Podemos apoyarle con:

• Formación, donde conocerá la revisión de la norma y obtendrá una visión general de los principales cambios y del proceso de transición.
• Herramientas de autoevaluación online y evaluaciones de brechas presenciales o remotas para medir en qué medida su sistema de gestión cumple los nuevos requisitos.
• Auditoría de transición para actualizar su certificación conforme a la nueva versión de la norma.

Podemos apoyarle en cada paso del camino.