ISO/IEC 27701:2025 se emancipará como norma certificable independiente — ¿qué significa esto para la privacidad corporativa?

En 2025, la Organización Internacional de Normalización (ISO) lanzó la versión revisada ISO/IEC 27701:2025, titulada “Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de información sobre privacidad (PIMS)”.

Evolución clave: de extensión a estándar autónomo

Una de las transformaciones más relevantes es que ISO 27701 se convierte en un documento independiente, emancipándose del modelo anterior en que estaba íntimamente ligado como extensión de ISO 27001. Ahora podrá ser implementada y certificada con mayor flexibilidad, aunque mantendrá sinergia técnica con ISO 27001.

La versión 2025 incorpora mejoras para alinear los controles de privacidad con los cambios más recientes en seguridad de la información, y responder al creciente escrutinio regulatorio global.

¿Qué cubre ISO/IEC 27701?

El estándar establece requisitos para:

• Implementar, mantener y mejorar un sistema de gestión de privacidad (PIMS).

• Orientar su aplicación tanto para controladores (responsables del tratamiento) como procesadores (encargados del tratamiento) de datos personales, con responsabilidad y rendición de cuentas.

• Aplicarse a organizaciones de todo tipo y tamaño, tanto públicas como privadas, incluyendo entidades gubernamentales o sin fines de lucro.

La antigua versión de 2019 ya funcionaba como una extensión del sistema de gestión de seguridad de la información (ISMS) bajo ISO 27001. Con la versión 2025, la estructura se refuerza y se da un paso hacia mayor independencia operativa.

Beneficios esperados

• Flexibilidad para implementarse como estándar propio, sin necesidad de partir exclusivamente desde 27001 (aunque seguirán existiendo sinergias).

• Mayor alineamiento con regulaciones internacionales de privacidad como GDPR y otras leyes emergentes.

• Fortalecimiento de la confianza con clientes, socios y autoridades: demostrar que la gestión de datos personales se asienta en un estándar global de prestigio.

• Mejor gobernanza y trazabilidad del tratamiento de datos personales, integrando controles técnicos y organizativos especializados.

  
  

¿Qué deben hacer las organizaciones ahora?

1. Seguir de cerca la publicación formal de ISO/IEC 27701:2025: actualmente se encuentra en su etapa final de borrador internacional (FDIS).

2. Realizar un análisis de brechas entre la versión 2019 aplicada y los nuevos requisitos de la edición 2025.

3. Planificar la transición o implementación progresiva del nuevo PIMS conforme a la nueva norma.

4. Aprovechar la independencia del estándar: para organizaciones que no tienen actualmente ISO 27001, 27701 podría implementarse como una iniciativa privada de manejo de privacidad (aunque muchos ya parten desde un ISMS).

5. Integrar equipos multidisciplinarios (legal, seguridad, TI, cumplimiento) para asegurar que las métricas de privacidad sean auditables y sostenibles.

   
   

Reflexión desde Pallavicini

Para nosotros, esta evolución de ISO/IEC 27701 representa un cambio de paradigma: la privacidad deja de ser un “complemento” de la seguridad para convertirse en un pilar autónomo de la gobernanza corporativa. Las empresas chilenas, en especial aquellas designadas como Operadores de Importancia Vital (OIV) o con obligaciones bajo la Ley Marco de Ciberseguridad, deberían incorporar este estándar como parte de su ventaja competitiva, no solo por cumplimiento, sino por la madurez y confianza que da gestionar la privacidad con integridad técnica y legal.

En el escenario global actual, donde las filtraciones, sanciones y exigencias de transparencia son moneda corriente, adoptar ISO/IEC 27701:2025 no es facultativo: es un paso estratégico hacia la resiliencia digital y la reputación sostenible.