Servicios Profesionales y Empresariales

¡Hola!, te compartimos el artículo de: Enero, 2026

Nueva norma ISO 27701:2025, ¡adiós y bienvenida a la ISO 27001!
Por David Mondragón Tapia

De acuerdo con una información publicada en la revista Cybercrime Magazine, el costo de los daños causados por el cibercrimen, se esperaba que alcanzara la espeluznante suma de los 10.5 billones de dólares, para el término del año 2025. Más grave aún son, las proyecciones y tendencias hechas hacia el año 2030, que señalan que dicha suma solamente irá en ascenso. Si somos conscientes de lo anterior, tal vez la pregunta que nos estemos haciendo sea: ¿qué se puede hacer ante este panorama tan adverso para las organizaciones y personas en materia de ciberseguridad y protección de la privacidad?

Protección de la privacidad

En el mundo digital de hoy, el manejo de los datos personales se da con mucha mayor frecuencia de lo que pensamos. Dentro de este mundo, los entornos de trabajo hiperconectados y abiertos, integran una gran variedad de dispositivos y servicios digitales, con infinidad de posibilidades para su buen o mal uso; es en esta arena, que la “privacidad” se vuelve crucial para ofrecer un nivel mínimo de protección a las personas, sujetos o individuos, sin importar su naturaleza o posición.  Así pues, hoy en día los datos personales son uno de los activos más sensibles y valiosos que gestionan las organizaciones. Lo anterior, incrementa las expectativas y exigencias de las personas, de los organismos reguladores y de los propios gobiernos o autoridades en la materia, para cumplir con leyes, regulaciones y/o estándares desarrollados con el propósito de proteger los datos personales. Ante tal reto, en el año 2019 una de las normas de la serie 27000 (seguridad de la información), fue dada a conocer al público general bajo la norma ISO/IEC 27701:2019, con el fin de complementar la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), basado en las normas ISO/IEC 27001 y 27002, pero adicionando algunos requisitos y controles complementarios en materia de protección de la privacidad.

Sin embargo y a pesar del esfuerzo anterior, la necesidad de tener que implementar un SGSI para posteriormente complementarlo y volverlo un Sistema de Gestión de la Información de Privacidad (SGIP), no era práctica, por lo que el pasado mes de octubre del 2025 y después de concluir el proceso de revisión y liberación de la nueva norma ISO/IEC 27701:2025, esta situación cambio. La ISO 27701 año 2025, viene ahora a proporcionar ese marco que hacía falta para apoyar a las organizaciones del mundo, en la difícil tarea de demostrar un nivel adecuado de responsabilidad al gestionar los riesgos de la información de identificación personal (PII, por sus siglas en inglés), permitiendo con esto mejorar también sus prácticas en cuanto a la protección de la privacidad y quitando la dependencia de las normas ISO 27001 y 27002, pero sin dejar de verse como un binomio necesario: (Seguridad de la información) + (Protección de la privacidad).

La nueva norma ISO/IEC 27701:2025

Como ya se dijo anteriormente, la mayoría –si no es que todas- las organizaciones del mundo manejan y/o procesan información personal identificable (PII), incrementándose rápidamente la cantidad y los tipos de PII que se procesan, al igual que el número de situaciones en las que una organización necesita cooperar con otras organizaciones, en relación con el procesamiento de la PII. En este contexto, proporcionar la debida protección de la privacidad en el procesamiento de la PII, es una necesidad social y una exigencia mundial, por cumplir con leyes y regulación específica (ejemplo: GDPR en Europa). La norma ISO/IEC 27701:2025 establece ahora los requisitos para establecer, implementar, mantener, mejorar continuamente y certificar un Sistema de Gestión de la Información de Privacidad o SGIP, considerando su fácil integración o correspondencia con otras normas ISO claves como son:

  • La norma ISO/IEC 29100, necesaria para el establecimiento de un marco y los principios de privacidad.
  • La norma ISO/IEC 27018, que establece las directrices necesarias para la protección de información de identificación personal (PII), en nubes públicas que actúan como procesadores de PII.
  • La norma ISO/IEC 29151, que establece un código de prácticas (controles) para la protección de la información de identificación personal (PII).
  • Y finalmente el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), siendo la ley de privacidad y ciberseguridad más completa del mundo, ya que fortalece y unifica el concepto de “protección de datos personales” para todos los estados e individuos de la Unión Europea.

La nueva norma ISO/IEC 27701:2025, puede ser utilizada por cualquier organización responsable o corresponsable del tratamiento de PII, así como por las que son encargadas o subcontratadas para el tratamiento de PII, ya que al cumplir con los requisitos de esta, queda posibilitada para generar y entregar evidencia de cómo se maneja el procesamiento de PII. Tal evidencia puede además utilizarse para facilitar la construcción de acuerdos con socios comerciales, donde el procesamiento de PII sea relevante para el establecimiento de la relación, así como para facilitar las relaciones con otras partes interesadas, en general. La nueva ISO 27701 ha sido desarrollada bajo la “estructura de alto nivel” (anexo SL), lo que permite su alineación con otras normas de referencia e integración con otras normas de sistemas de gestión certificables (ref. Sistema de Gestión Integrado), en particular con el Sistema de Gestión de Seguridad de la Información especificado en la norma ISO/IEC 27001:2022.

El Sistema de Gestión de Información de Privacidad

Con base en todo lo anterior, la nueva norma ISO/IEC 27701:2025, es la norma internacional que viene a establecer los requisitos y controles necesarios (anexo A) para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información de Privacidad (SGIP), siendo la norma que proporciona los lineamientos necesarios para ayudar a las organizaciones a poner en práctica, estos requisitos en materia de protección de la privacidad.

La norma fue diseñada para las organizaciones responsables y encargadas del procesamiento y tratamiento de información de identificación personal (PII), proponiendo un marco estructurado y reconocido internacionalmente que ayude a las organizaciones a demostrar responsabilidad, gestionar los riesgos relacionados con la información de identificación personal y mejorar continuamente sus prácticas de protección de la privacidad. Todo lo anterior es posible, a partir de la implementación y mantenimiento de un proceso de valoración y tratamiento de riesgos de privacidad, así como por la determinación de los planes de tratamiento y las declaraciones de aplicabilidad pertinentes (similar al SGSI).

Ahora las organizaciones que busquen y requieran certificar un SGIP, ya NO requerirán certificar primero un SGSI y luego el SGIP, ya que la nueva versión del estándar es para certificar un sistema de gestión independiente. No importa si tu organización es privada o pública, pequeña o grande, con o sin fines de lucro, de servicios, manufactura o tecnológica, con la nueva ISO 27701 cualquier organización que recopile, procese, almacene o controle información de identificación personal o PII, puede demostrar sus buenas prácticas de protección de la privacidad de manera sólida y consistente, logrando beneficios como son:

  1. El fortalecimiento de sus capacidades de privacidad y protección de datos personales.
  2. El cumplimiento de las normativas globales de privacidad, como el GDPR de la UE.
  3. El fortalecimiento de la confianza en: clientes, socios y organismos reguladores.
  4. El mantenimiento de su alineación con los sistemas ISO/IEC 27001 existentes.
  5. La facilitación de la rendición de cuentas y la gestión de la privacidad con base en la evidencia objetiva.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a robustecer la protección de la privacidad y la seguridad de la información de tu organización, ¡escríbenos, será un gusto platicar contigo y poder apoyarte en este reto!

Referencias y/o consultas

1. International Standard ISO/IEC 27701:2025. Information security, Cybersecurity and Privacy protection - Privacy Information Management Systems - Requirements and guidance. 2nd Edition, 10-2025.

2. Portal de ISO Standards: https://www.iso.org

3. International Standard ISO/IEC 27001:2022. Information security, Cybersecurity and Privacy protection - Information Security Management Systems – Requirements. 3rd Edition, 10-2022.

4. Portal de Ciberseguridad: https://cybersecurityventures.com/cybercrime-to-cost-the-world-8-trillion-annually-in-2023/>

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.