En breve: La ISO 27701 es la extensión de privacidad de la ISO 27001: añade un sistema de gestión de la información de privacidad (PIMS) sobre la base de un SGSI ya implantado. Ayuda a demostrar responsabilidad proactiva ante el RGPD, pero no sustituye ni certifica por sí sola el cumplimiento del RGPD.

¿Qué es exactamente la ISO 27701 y por qué se dice que es una extensión de la ISO 27001?

Cuando un cliente me pregunta por la ISO 27701, la primera aclaración que hago es esta: no es una norma independiente, es una capa que se apoya sobre la ISO 27001. La ISO/IEC 27701 amplía el sistema de gestión de la seguridad de la información (SGSI) que ya tienes certificado, o estás construyendo, añadiendo requisitos específicos de privacidad, hasta convertirlo en lo que la norma llama un sistema de gestión de la información de privacidad, o PIMS por sus siglas en inglés.

Dicho de forma sencilla: la ISO 27001 protege la información en general (confidencialidad, integridad, disponibilidad); la ISO 27701 coge esa misma estructura y le añade el foco concreto en los datos personales, es decir, cómo los recoges, para qué los usas, cuánto tiempo los conservas, con quién los compartes y cómo respondes cuando alguien ejerce sus derechos. Por eso no puedes certificarte en ISO 27701 sin tener antes un SGSI ISO 27001, propio o de la organización a la que perteneces, funcionando como base.

¿La ISO 27701 significa que ya cumplo el RGPD?

Aquí es donde veo más confusión en las pymes que asesoro, y conviene ser preciso: la ISO 27701 ayuda a demostrar responsabilidad proactiva frente al RGPD, es decir, aporta evidencia estructurada de que gestionas la privacidad de forma sistemática, pero no es por sí misma una certificación de cumplimiento del RGPD. Son cosas distintas y no conviene mezclarlas en una web, una oferta comercial o una respuesta a un cliente que audita a sus proveedores.

En la práctica, esto significa que puedes tener la ISO 27701 y aun así tener aspectos del RGPD por resolver, o al revés: cumplir razonablemente bien el RGPD sin tener ninguna certificación ISO. La norma te da un marco de gestión (procesos, roles, revisiones periódicas, documentación) que facilita mucho el cumplimiento, pero la responsabilidad legal sigue siendo tuya y sigue dependiendo de cómo apliques la normativa a tu caso concreto. Si tienes dudas sobre una base legal, un tratamiento de datos concreto o cómo encaja todo esto con otros marcos como el Esquema Nacional de Seguridad, conviene revisarlo caso por caso; en este artículo sobre cómo encajan el ENS y el RGPD explico algo parecido para quien tiene que combinar varios marcos a la vez.

¿Qué necesita tener mi empresa antes de empezar con la ISO 27701?

Antes de plantearte la ISO 27701, revisa estos tres puntos:

¿Cómo se implementa la ISO 27701 en una pyme, paso a paso?

El proceso, simplificado, se parece bastante al de cualquier sistema de gestión ISO, pero con foco en privacidad:

  1. Diagnóstico inicial. Comparas tu situación actual (procesos, documentación, controles) con lo que exige la norma y detectas las brechas.
  2. Definición del alcance. Decides qué procesos, departamentos o servicios entran dentro del sistema de gestión de privacidad. No hace falta abarcar toda la empresa desde el primer momento.
  3. Análisis de riesgos de privacidad. Además de los riesgos de seguridad que ya trabajas en la ISO 27001, identificas riesgos específicos para las personas cuyos datos tratas: pérdida, uso indebido, falta de transparencia, plazos de conservación incumplidos.
  4. Documentación de políticas y procedimientos. Aquí conecta directamente con tu política de seguridad de la información: la de privacidad no la sustituye, la complementa con procedimientos propios, como la gestión de derechos de las personas, la gestión de brechas de datos personales o la relación con encargados y subencargados.
  5. Implantación de controles. Pones en marcha las medidas necesarias: desde cláusulas contractuales con proveedores que tratan datos por tu cuenta, hasta procedimientos internos para responder a una solicitud de acceso o supresión en plazo.
  6. Auditoría interna y revisión por la dirección. Compruebas que el sistema funciona en el día a día, no solo sobre el papel, y la dirección revisa resultados y decide ajustes.
  7. Auditoría de certificación. Si decides certificarte, una entidad externa acreditada verifica que el sistema cumple los requisitos de la norma.

Un matiz importante: nada de esto obliga a certificarse. Muchas pymes implantan la lógica de la ISO 27701 como marco de trabajo interno, sin pasar por auditoría externa, simplemente porque ordena la gestión de la privacidad y facilita responder con criterio cuando un cliente grande pregunta cómo gestionan los datos personales que le confía.

¿Qué papel juega ser responsable o encargado del tratamiento en la norma?

La ISO 27701 diferencia con bastante cuidado entre las organizaciones que actúan como responsables del tratamiento, que deciden los fines y medios de un tratamiento de datos, y las que actúan como encargadas, que tratan datos por cuenta de otro, típicamente un proveedor de software, un gestor, una consultora o una asesoría. Los requisitos y controles que te aplican no son idénticos en ambos casos.

Esto es especialmente relevante para pymes que prestan servicios B2B: una gestoría, una asesoría, un desarrollador de software o un proveedor de marketing suelen actuar como encargados del tratamiento respecto a los datos de sus clientes, y sus propios clientes cada vez piden más garantías documentadas de que gestionan esos datos con criterio. Tener claro en qué papel actúas en cada relación contractual es el primer filtro para saber qué parte de la norma te afecta de verdad.

¿Qué errores cometen las pymes al abordar la ISO 27701?

Los que veo repetirse con más frecuencia:

¿Le compensa a una pyme certificarse en ISO 27701?

Depende sobre todo de a quién le vendes. Si trabajas con grandes clientes, administraciones públicas o sectores regulados (salud, finanzas, seguros) que exigen garantías documentadas sobre cómo tratas datos personales, la certificación se convierte en un argumento comercial y a veces en un requisito para homologarte como proveedor. Si tu cartera es de clientes pequeños y locales, puede que te compense más implantar la lógica de la norma como marco interno de trabajo (ordenar procesos, documentar decisiones, revisar riesgos) sin asumir el coste y el mantenimiento de una certificación formal.

En cualquier caso, mi recomendación con las pymes que acompaño es siempre la misma: no empieces por la norma, empieza por entender qué datos tratas, con qué base legal y con qué riesgo real para las personas. La ISO 27701 es una herramienta muy útil para ordenar esa gestión y para demostrarla ante terceros, pero es una herramienta, no el objetivo. Si quieres revisar si tu empresa está en el punto de partida adecuado para abordar la ISO 27001 y, sobre esa base, plantearte la 27701, en la consultoría ISO que ofrezco empezamos siempre por ese diagnóstico antes de hablar de auditorías ni de certificaciones.