¿Qué es ISO/IEC 27701:2019?
ISO/IEC 27701:2019 es la extensión internacional de ISO/IEC 27001 que agrega requisitos específicos para gestionar la privacidad de la información (Privacy Information Management System — PIMS). Mientras ISO 27001 protege confidencialidad, integridad y disponibilidad de la información en general, ISO 27701 añade controles enfocados en datos personales.
La norma reconoce dos roles distintos: controlador de PII (quien decide los fines del tratamiento) y procesador de PII (quien trata datos por instrucciones del controlador). Cada rol tiene un anexo específico con controles diferentes — anexo A para controladores, anexo B para procesadores. Una organización puede asumir ambos roles para distintos tratamientos.
No es certificable de forma independiente — siempre requiere ISO 27001 como base, ya sea certificado o demostrablemente operativo. Esto refleja la realidad técnica: no se puede gestionar privacidad sin antes gestionar seguridad de la información.
¿Para quién es relevante ISO 27701 en México?
Por experiencia de auditoría, las empresas mexicanas que más necesitan ISO 27701 son:
- Fintech y empresas con licencias CNBV que manejan datos financieros personales y enfrentan requisitos regulatorios de protección de datos.
- SaaS y software que procesan datos personales de usuarios — particularmente las que venden a clientes USA, UE o LATAM con exigencias contractuales de GDPR/LFPDPPP.
- BPO y centros de servicios compartidos que actúan como procesadores de datos personales por cuenta de sus clientes corporativos.
- Salud y aseguradoras con grandes volúmenes de datos sensibles (información de salud).
- E-commerce con bases de datos extensas de clientes y comportamiento de compra.
- Agencias de marketing digital que segmentan audiencias usando datos personales — particularmente con campañas en Europa.
- Empresas mexicanas que exportan servicios y necesitan demostrar compliance GDPR a clientes europeos como diferenciador comercial.
Cómo elegir un organismo de certificación ISO 27701 en México
La elección del organismo de certificación (OC) determina la validez del certificado, la calidad técnica de la auditoría y la experiencia operativa. Estos son los 7 criterios técnicos que recomendamos evaluar:
1. Acreditación vigente bajo ISO/IEC 17021-1 con alcance ISO 27701
Es el criterio no negociable. El OC debe estar acreditado por un organismo nacional de acreditación reconocido. En México, MAAC (Mexican Accreditation Association) acredita organismos de certificación bajo ISO/IEC 17021-1. Verifica especialmente que el alcance de acreditación incluya ISO/IEC 27701 — no todos los OCs acreditados para 27001 tienen extensión a 27701.
2. Imparcialidad estricta (no consultoría)
Por ISO 17021, un organismo de certificación NO puede ofrecer servicios de consultoría o implementación a las empresas que va a certificar. Si un OC te ofrece "paquete completo de implementación + certificación", está violando imparcialidad y el certificado emitido tiene riesgo de invalidación. Servicios complementarios SÍ permitidos: diagnóstico de madurez, capacitación oficial (PECB), auditoría previa.
3. Competencia técnica en privacidad de datos
ISO 27701 es técnicamente compleja — exige conocimiento de privacidad además de seguridad de la información. Los auditores deben tener competencia demostrable: certificaciones PECB Lead Auditor 27701, CIPM, CIPP/E, o equivalentes. Pregunta cuántas certificaciones ISO 27701 ha realizado el OC en el último año.
4. Capacidad de auditoría integrada con ISO 27001
Como ISO 27701 requiere ISO 27001 como base, lo más eficiente es auditarlas en un solo ciclo. Verifica que el OC ofrezca auditoría integrada (un cronograma, evidencia compartida, menor tiempo total) en vez de dos procesos separados.
5. Transparencia de precios y alcance
Pide cotización con desglose detallado: Etapa 1, Etapa 2, viáticos (si aplican), emisión del certificado, auditorías de seguimiento anuales y recertificación. Una cotización opaca o que mezcla certificación con consultoría es señal de problema.
6. Conocimiento del marco regulatorio mexicano
El OC debe entender LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) y su Reglamento, los Avisos de Privacidad y los Derechos ARCO. Si auditan empresas mexicanas con clientes europeos, también debe entender GDPR. Esto se nota en cómo formulan los hallazgos de auditoría.
7. Reconocimiento del certificado en tus mercados objetivo
Si tu empresa vende a clientes europeos que exigen GDPR compliance, verifica que el certificado emitido sea reconocido en esos mercados. Pregunta al OC por casos previos de empresas mexicanas que hayan usado su certificado ISO 27701 como evidencia ante clientes UE.
Proceso de certificación ISO 27701 paso a paso
El proceso, desde decisión hasta certificado emitido, tiene 6 fases:
Fase 1: Diagnóstico inicial (gap analysis PIMS)
1-2 meses. Evaluación contra los requisitos de ISO 27701 partiendo de tu SGSI ISO 27001 actual (si existe). Identificación de brechas en controles del anexo A o B según el rol que asuma tu organización. ONCE puede realizar este diagnóstico como servicio independiente compatible con ISO 17021.
Fase 2: Implementación del SGPI
3-9 meses. Diseño y operación del sistema de gestión de privacidad: política PIMS, análisis de riesgos de privacidad, registros de actividades de tratamiento, procedimientos de derechos ARCO, gestión de brechas, contratos con encargados. Esta fase NO la hace ONCE — por imparcialidad ISO 17021, la implementación corre a cargo de tu equipo interno o de un consultor independiente.
Fase 3: Operación con registros (mínimo 3 meses)
El SGPI debe estar operando y generando evidencias antes de la auditoría externa. Incluye gestión de solicitudes ARCO recibidas, auditorías internas, revisión por la dirección sobre desempeño de privacidad, gestión de incidentes de privacidad.
Fase 4: Auditoría Etapa 1
Revisión documental. El auditor líder de ONCE evalúa madurez del SGPI, completitud de documentos (Statement of Applicability extendido para 27701, política PIMS, registros de actividades), y disposición para Etapa 2. Identificación de no-conformidades bloqueantes antes de la auditoría in situ. Duración típica: 1-2 días.
Fase 5: Auditoría Etapa 2
Verificación operativa en sitio. Entrevistas con DPO/encargado de privacidad, revisión de evidencias de derechos ARCO, gestión de proveedores que tratan datos, auditoría de procesos donde se procesan PII. Duración típica para empresas de 50-200 empleados con auditoría integrada 27001+27701: 4-7 días.
Fase 6: Emisión + auditorías de seguimiento
Cierre de no-conformidades, decisión técnica y emisión del certificado con validez de 3 años. Anualmente, auditorías de seguimiento revisan que el SGPI continúe operando. Al término del tercer año, auditoría de recertificación completa.
ISO 27701 vs LFPDPPP vs GDPR — qué cubre cada uno
Esta tabla ayuda a entender cómo se complementan:
| Marco | Tipo | Naturaleza | Aplica a |
|---|---|---|---|
| ISO/IEC 27701:2019 | Estándar certificable | Voluntario — sistema de gestión auditable | Global — útil donde haya regulación de datos |
| LFPDPPP (México) | Ley federal | Obligatorio — cumplimiento legal | Cualquier organización que trate datos personales en México |
| GDPR (UE) | Reglamento europeo | Obligatorio — cumplimiento legal extraterritorial | Empresas que tratan datos de residentes en UE, sin importar dónde estén ubicadas |
ISO 27701 NO sustituye al cumplimiento legal de LFPDPPP o GDPR — son obligatorios por separado. Pero certificarse facilita la evidencia documental ante auditores regulatorios y clientes corporativos que exigen ambos. Muchas empresas mexicanas usan la certificación 27701 como atajo para demostrar compliance GDPR a clientes europeos en RFPs.
Cómo empezar con ONCE México
Si después de leer esta guía consideras que ISO 27701 es la certificación adecuada para tu organización, los siguientes pasos con ONCE son:
- Cotización inicial: envía un formulario de contacto con datos básicos (empleados, sectores, alcance preliminar, si ya tienes ISO 27001). Recibirás cotización detallada con desglose por etapa.
- Diagnóstico de madurez (opcional): antes de comprometerte con certificación, un diagnóstico independiente identifica brechas y estima tiempo realista hasta certificación.
- Capacitación del equipo (recomendado): al menos el responsable del SGPI debe tomar el curso oficial PECB Lead Implementer o Lead Auditor ISO 27701. ONCE es PECB Authorized Training Partner.
- Implementación del SGPI: con tu equipo interno o un consultor independiente especializado en privacidad. ONCE no realiza esta fase por imparcialidad ISO 17021.
- Programación de auditoría: una vez que el SGPI opera con registros suficientes (mínimo 3 meses), agendamos Etapa 1 + Etapa 2 — idealmente integrada con tu auditoría ISO 27001.
Sobre la autora. Pilar Andrade es Lead Auditor PECB y voz técnica de ONCE México. Esta guía refleja la práctica de auditoría real que observa en empresas mexicanas de tecnología, fintech, BPO y salud que han certificado o están en proceso de certificar ISO 27701. ONCE México es organismo de certificación acreditado MAAC bajo ISO/IEC 17021-1. Conoce más sobre Pilar →
