ISO 27701: cómo la certificación complementa el cumplimiento con la Ley 21.719
La ISO/IEC 27701 es el estándar internacional para la gestión de la información de privacidad. En Chile, la norma fue adoptada como NCh-ISO/IEC 27701:2020 por el INN (Instituto Nacional de Normalización) y es frecuentemente citada como la certificación más robusta que una organización puede obtener para demostrar madurez en protección de datos — tanto ante la APDP como ante clientes, socios y reguladores internacionales.
Esta guía explica qué contiene realmente la norma, cómo se relaciona con la Ley 21.719, qué involucra la certificación en Chile y, principalmente, cuándo la inversión tiene sentido.
Qué es la ISO/IEC 27701
Nombre completo: ISO/IEC 27701:2019 — "Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and Guidelines"
Versión chilena: NCh-ISO/IEC 27701:2020 — adoptada por el INN como versión nacional de la norma internacional.
La norma establece requisitos y directrices para la implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Privacidad de la Información (SGPI) — en inglés, Privacy Information Management System (PIMS). Se aplica a cualquier tipo y tamaño de organización, pública o privada, que actúe como responsable o encargado del tratamiento de datos personales.
Atención — versión 2025: En octubre de 2025, la ISO publicó la ISO/IEC 27701:2025, una revisión significativa que transforma la norma en estándar independiente/standalone — eliminando la exigencia de que la organización posea previamente la ISO 27001. La versión 2019 permanece válida hasta octubre de 2028 (plazo de transición de 3 años). Este guía aborda principalmente la versión 2019, vigente para la mayoría de las organizaciones, con indicaciones sobre lo que cambia en 2025.
La relación con la ISO 27001 (versión 2019)
En la versión 2019, la ISO 27701 es una extensión de la ISO/IEC 27001 — no una norma independiente. Esto significa que:
- La organización necesita tener la ISO 27001 implementada (o implementarla simultáneamente) para buscar la certificación ISO 27701:2019
- Los requisitos del SGPI se construyen sobre los controles del SGSI (Sistema de Gestión de Seguridad de la Información) de la ISO 27001
- Las organizaciones con ISO 27001 ya implementada tienen menor costo y esfuerzo para añadir la 27701, ya que la estructura de gestión, documentación y auditorías ya existe
Por qué la ISO 27001 es prerrequisito (versión 2019): La privacidad de la información presupone seguridad de la información. La ISO 27701 asume que la organización ya implementó controles básicos de seguridad y añade los controles específicos de privacidad sobre esa base.
Lo que cambia en la versión 2025: La ISO 27701:2025 adopta la estructura HLS (High-Level Structure) que permite implementación autónoma, sin exigir ISO 27001. Esto amplía el alcance de la norma a organizaciones más pequeñas o que no necesitan una certificación completa de seguridad de la información.
Estructura de la norma
La ISO 27701:2019 está organizada en secciones y anexos complementarios:
Secciones principales
| Sección | Contenido |
|---|---|
| Sección 5 | Requisitos del SGPI — aplicables a responsables y encargados (extensión de los requisitos de la ISO 27001) |
| Sección 6 | Directrices generales del SGPI y controles de seguridad relacionados con la ISO 27002 |
| Sección 7 | Directrices adicionales específicas para responsables del tratamiento de datos personales |
| Sección 8 | Directrices adicionales específicas para encargados del tratamiento de datos personales |
Anexos
| Anexo | Contenido |
|---|---|
| Anexo A | Controles específicos para responsables (complementa el Anexo A de la ISO 27001) |
| Anexo B | Controles específicos para encargados |
| Anexo C | Mapeo de los controles con principios internacionales de privacidad |
| Anexo D | Mapeo con el GDPR — correlación entre los controles de la norma y los artículos del GDPR europeo |
| Anexo E | Relación con ISO 27018 (computación en la nube) e ISO 29151 |
| Anexo F | Cómo implementar la 27701 en conjunto con 27001 y 27002 |
Lo que la norma añade: controles para responsables y encargados
Para responsables (Sección 7 + Anexo A) — 31 controles adicionales
Los controles específicos para quienes determinan la finalidad y los medios del tratamiento incluyen:
- Base de licitud y finalidad: documentación de la condición de licitud de cada tratamiento y la finalidad específica
- Consentimiento: procesos para obtención, gestión y revocación del consentimiento
- Evaluación de impacto (EIPD): requisito de evaluación previa para tratamientos de alto riesgo
- Minimización de datos: garantizar que solo se recopilen los datos necesarios
- Derechos de los titulares: procesos para atender solicitudes de acceso, rectificación, supresión y portabilidad
- Transferencia internacional: salvaguardas para datos enviados a países terceros
- Retención y eliminación: criterios documentados del ciclo de vida de los datos
Para encargados (Sección 8 + Anexo B) — 18 controles adicionales
Los controles específicos para quienes tratan datos en nombre de terceros incluyen:
- Restricción de finalidad: tratar los datos solo conforme a las instrucciones del responsable
- Cumplimiento de instrucciones: documentación de cómo se siguen las instrucciones del responsable
- Sub-contratación: aprobación y gestión de subencargados
- Notificación de incidentes: proceso para comunicar al responsable cualquier incidente de seguridad
- Devolución o eliminación de los datos: al término del contrato, devolución o eliminación según lo determinado por el responsable
ISO 27701 y Ley 21.719: cuál es la relación
La APDP aún no ha publicado un mapeamiento oficial entre los artículos de la Ley 21.719 y los controles de la ISO 27701 — aunque se espera que lo haga una vez entre en plena vigencia. Lo que existe es:
- El Anexo D (GDPR) que sirve como guía indirecta, dado el fuerte modelo del GDPR que inspiró también la Ley 21.719
- El Anexo C que correlaciona controles de la norma con principios internacionales de privacidad aplicables bajo la ley chilena
- Matrices de mapeo producidas por consultoras y el ámbito académico que correlacionan ISO 27701 × Ley 21.719
La posición de la APDP: si bien la autoridad aún no ha publicado criterios formales, la Ley 21.719 valora los programas de gobernanza de privacidad y buenas prácticas como evidencia de diligencia del responsable. La certificación ISO 27701 será ampliamente reconocida como evidencia material de esa diligencia en procesos sancionatorios.
Certificación ISO 27701 en Chile
Quiénes pueden certificar
En Chile, organismos certificadores como AENOR, Bureau Veritas, SGS Chile, DNV y TÜV SÜD ofrecen certificación ISO 27701. Los certificados se emiten con base en esquemas de acreditación internacionales reconocidos (IAF, UKAS, ENAC, entre otros) y en la infraestructura de normalización del INN (Instituto Nacional de Normalización).
Proceso de certificación (versión 2019)
- Análisis de brechas (GAP Analysis): evaluación del estado actual del SGPI respecto a los requisitos de la norma
- Implementación: adecuación de los controles de privacidad a las secciones 5, 6, 7 u 8 (según el rol de la organización)
- Auditoría de fase 1 (Análisis documental): el organismo certificador evalúa la documentación del SGPI
- Auditoría de fase 2 (In situ): verificación de la implementación efectiva de los controles
- Certificación: emisión del certificado con validez de 3 años, con auditorías de mantenimiento anuales
- Renovación: nueva auditoría completa al cabo de los 3 años
Plazo típico de implementación
Para organizaciones que ya poseen ISO 27001:
- 6 a 12 meses de implementación complementaria (dependiendo de la madurez actual en privacidad)
- Más el tiempo de la auditoría de certificación (fases 1 y 2)
Para organizaciones sin ISO 27001 que buscan implementar ambas:
- 12 a 24 meses, dependiendo del tamaño y complejidad
Estado de las certificaciones en Chile
El número de organizaciones chilenas certificadas en ISO 27701 es aún reducido — el mercado está en una etapa temprana, impulsado por la proximidad de la entrada en vigor de la Ley 21.719 en diciembre de 2026. El interés ha crecido significativamente desde la publicación de la ley en diciembre de 2024.
Los sectores con mayor demanda son: tecnología, servicios financieros, salud, procesamiento de datos y empresas que atienden clientes internacionales sujetos al GDPR.
Beneficios concretos de la certificación
Ante la APDP
La certificación ISO 27701 constituye evidencia material de adopción de buenas prácticas — un criterio que la APDP considerará al momento de evaluar la conducta del responsable en procesos sancionatorios bajo la Ley 21.719. Presentar la certificación es un argumento concreto de gobernanza proactiva.
Ante clientes internacionales
El Anexo D de la norma mapea directamente los controles para el GDPR europeo — una organización chilena certificada ISO 27701 demuestra, de forma auditada y verificable, que sus procesos de privacidad son compatibles con los requisitos europeos. Esto facilita contratos con empresas sujetas al GDPR y puede reemplazar o reducir auditorías de due diligence realizadas por los clientes.
En procesos de M&A y due diligence
Los inversionistas y compradores buscan evidencias de madurez en privacidad como parte de la evaluación de pasivos regulatorios. Un certificado ISO 27701 activo reduce la percepción de riesgo y agiliza el proceso de due diligence.
Como diferencial competitivo
En licitaciones públicas, contratos corporativos con grandes empresas y procesos de calificación de proveedores, la certificación ISO 27701 es un diferencial creciente — especialmente en sectores regulados como salud, financiero y educación, y en contratos con empresas multinacionales.
Implementar vs. certificar: cuál es la diferencia
| Implementar la norma | Obtener la certificación | |
|---|---|---|
| Qué es | Adoptar los requisitos y controles de la ISO 27701 internamente | Someter el SGPI a auditoría por tercera parte independiente |
| Costo | Menor — solo esfuerzo interno y consultoría | Mayor — incluye aranceles del organismo certificador y auditorías anuales |
| Resultado | Mejora interna documentada, sin credencial externa | Certificado reconocido por clientes y reguladores |
| Cuándo usar | Cuando el objetivo es mejorar la gobernanza interna y reducir riesgos | Cuando hay exigencia contractual de clientes o objetivo de diferenciación comercial |
| Validez | Continua (el SGPI permanece implementado) | 3 años con auditorías anuales de mantenimiento |
Recomendación: Para organizaciones sin exigencia contractual de certificación, implementar la norma como referencia de buenas prácticas genera valor inmediato — la certificación puede venir en una etapa posterior, cuando haya demanda comercial que justifique la inversión.
Cuándo vale la pena la certificación
| Escenario | Relevancia |
|---|---|
| Ya posee ISO 27001 implementada | Alta — el costo incremental es menor |
| Procesa grandes volúmenes de datos personales o datos sensibles | Alta — la norma demuestra proporcionalidad de las medidas |
| Actúa como encargado para clientes internacionales | Alta — el Anexo D facilita la demostración de compatibilidad con GDPR |
| Tiene clientes que exigen evidencias de cumplimiento en due diligence | Alta — el certificado reemplaza auditorías repetitivas |
| Busca diferencial en licitaciones o contratos con empresas reguladas | Media — exigencia creciente en sectores de salud y financiero |
| Es una PYME sin obligaciones contractuales internacionales | Baja — el esfuerzo puede no ser proporcional |
Para PYMEs: La implementación de la ISO 27701 sin la certificación formal es una alternativa válida. Use la norma como referencia metodológica para estructurar su Programa de Gobernanza de Privacidad conforme a la Ley 21.719, y considere la certificación cuando el crecimiento o nuevas relaciones comerciales lo requieran.
Checklist de evaluación para la ISO 27701
Prerrequisitos (versión 2019)
- ¿ISO 27001 implementada o siendo implementada simultáneamente?
- ¿Alcance del SGPI definido (responsable, encargado o ambos)?
- ¿Análisis de brechas realizado respecto a los requisitos de la Sección 5 (comunes) y 7 u 8 (específicos)?
Implementación
- ¿Política de privacidad interna documentada y aprobada por la dirección?
- ¿Registro de actividades de tratamiento mapeado y actualizado (Ley 21.719)?
- ¿Proceso de evaluación de impacto (EIPD) implementado para tratamientos de alto riesgo?
- ¿Controles de minimización de datos y limitación de finalidad documentados?
- ¿Proceso de atención a titulares operativo con SLA documentado?
- ¿Contratos de encargo con todos los encargados y subencargados formalizados?
- ¿Transferencias internacionales identificadas con salvaguardas (cláusulas contractuales tipo u otro mecanismo habilitante de la Ley 21.719)?
- ¿Proceso de gestión de incidentes integrado al plan de respuesta a incidentes de la ISO 27001?
- ¿Capacitaciones de privacidad realizadas con evidencia de participación?
Decisión de certificación
- ¿Hay demanda de clientes internacionales o contratos que exijan certificación?
- ¿La ISO 27001 está implementada y certificada?
- ¿El presupuesto disponible cubre los aranceles de certificación + auditorías anuales por 3 años?
- ¿La dirección respalda el proyecto de certificación?
Conclusión
La ISO 27701 es el estándar internacional más completo para la gestión de la privacidad de la información — y la versión 2025, al convertirse en standalone, amplía significativamente su alcance. Para organizaciones con ISO 27001, la 27701 es un complemento natural que transforma el sistema de gestión de seguridad en un sistema integrado de seguridad y privacidad.
Para el cumplimiento con la Ley 21.719, la norma no es obligatoria — pero es una de las evidencias más robustas de accountability que una organización puede presentar ante la APDP o cualquier stakeholder externo. La decisión de implementar (sin certificar) o certificar depende del perfil de clientes, del tamaño de la organización y de las exigencias contractuales.
El camino realista para la mayoría de las organizaciones: implementar la norma como guía para el Programa de Gobernanza de Privacidad y certificar cuando haya demanda comercial que justifique la inversión continua en auditorías.
Confidata ofrece un módulo de cumplimiento basado en los controles de la ISO 27701, con mapeo automático de las actividades de tratamiento respecto a los requisitos de la norma, gestión integrada de la EIPD y evidencias de cumplimiento organizadas por dominio de control.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.