ISO 27701:2019

Privacidad de la Información
 Introducción

Más allá de las innegables ventajas que la conocida como Sociedad de la Información nos aporta, la
actual tecnificación que vivimos ha introducido nuevos retos. De todos ellos, la protección de los datos
de carácter personal, es hoy en día los principales.

Estos datos de carácter personal son todos aquellos relativos a una persona física identificada o identi-
ficable y que permitirían conocer alguno de los elementos propios de su identidad, ya se de tipo ideoló-
gico, cultural, personal, etc.

Es por ello que los diferentes gobiernos y agencias han creado una serie de nuevas regulaciones enca-
minadas a la protección de esta información.

Las organizaciones tienen por delante la tarea de dar respuesta a estos nuevos derechos y garantizar
tanto un tratamiento adecuado de los datos de carácter personal como una protección suficiente de los
mismos.
 ISO/IEC 27701

Es un estándar internacional pensado

para ayudar a desarrollar y mejorar los
procesos de gestión de la información de
carácter personal que gestionan las orga-
nizaciones.

Se ha configurado como una extensión

del estándar ISO/IEC 27001 de Seguridad
de la Información, beneficiándose de los
procesos de seguridad que este estándar
establece.

Permite la integración de la gestión de la

información de carácter personal con
otros estándares.

Facilita el cumplimiento de las normativas

legales vinculadas a los datos de carácter
personal como el RGPD y la LOPDGDD.

Establece diferentes requisitos en función

del rol que desempeñe la organización, ya
sea como responsable o como encargado
del tratamiento.

Permite certificar el cumplimiento de las

buenas prácticas en materia de gestión de
datos de carácter personal.
 Integración con ISO/IEC 27001

Es necesario la existencia o desarrollo de un SGSI conforme a ISO/IEC 27001.

La implantación del Sistema de Gestión de Privacidad de la Información

(SGPI) requerirá:
Una ampliación de los requisitos del cuerpo normativo de ISO/IEC 27001
Una ampliación de los requisitos de algunos de los controles del anexo A de
ISO/IEC 27001
La implantación de nuevos controles de seguridad del anexo A de ISO/IEC
27701 en el caso de los responsables del tratamiento
La implantación de nuevos controles de seguridad del anexo B de ISO/IEC
27701 en el caso de los encargados del tratamiento
 SGSI Clásico

ISO/IEC 27001

Dominio 5

Dominio 6

Dominio 7
Anexo A
ISO/ IEC 27001
...

...

Dominio 18
 SGSPI

ISO/IEC 27001 ISO/IEC 27701 §5

Dominio 5

Dominio 6 ISO/IEC 27701

Anexo A

Dominio 7
Anexo A ISO/IEC
ISO/ IEC 27001 27701 §6
...

ISO/IEC 27701
...
Anexo B

Dominio 18
 Cambios en el SGSI para la implantación de un SGPI

ISO 27001 ISO 27701 Cambios Resumen

La organización debe realizar un análisis del contexto tratando de
4 5.2 Sí comprender el rol de la organización como gestor de datos de
carácter personal dentro de su contexto.
5 5.3 No ---
La organización debe realizar un análisis de riesgos vinculado a la
ges ón de datos de carácter personal (autónomo o integrado en
6 5.4 Sí el análisis de riesgos de seguridad de la información), determinar
los controles de los anexos A y B que debe implantar y crear una
declaración de aplicabilidad del SGPI.
7 5.5 No ---
8 5.6 No ---
9 5.7 No ---
10 5.8 No ---
 Cambios en el SGSI para la implantación de un SGPI

ISO 27001 ISO 27701 Cambios ISO 27001 ISO 27701 Cambios
A5 6.2 Sí A 12 6.9 Sí
A6 6.3 Sí A 13 6.10 Sí
A7 6.4 Sí A 14 6.11 Sí
A8 6.5 Sí A 15 6.12 Sí
A9 6.6 Sí A 16 6.13 Sí
A 10 6.7 Sí A 17 6.14 No
A 11 6.8 Sí A 18 6.15 Sí
 Cambios en el SGSI para la implantación de un SGPI (A.5)

ISO 27001 ISO 27701 Cambios

A.5.1.1 6.2.1.1 Es necesario la creación de una Polí ca rela va a Privacidad de la Información, autónoma o
integrada con la Polí ca de Seguridad de la Información
A.5.1.2 6.2.1.2 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.6)

ISO 27001 ISO 27701 Cambios

A.6.1.1 6.3.1.1 Se debe establecer un punto de contacto rela vo a datos personales para los clientes y
responsables de protección de datos independientes.
A.6.1.2 6.3.1.2 Sin cambios
A.6.1.3 6.3.1.3 Sin cambios
A.6.1.4 6.3.1.4 Sin cambios
A.6.1.5 6.3.1.5 Sin cambios
A.6.2.1 6.3.2.1 La organización debe asegurarse que el uso disposi vos móviles no afecta a la protección de
datos personales.
A.6.2.2 6.3.2.2 cambios
 Cambios en el SGSI para la implantación de un SGPI (A.7)

ISO 27001 ISO 27701 Cambios

A.7.1.1 6.4.1.1 Sin cambios
A.7.1.2 6.4.1.2 Sin cambios
A.7.2.1 6.4.2.1 Sin cambios
A.7.2.2 6.4.2.2 Se deben realizar acciones de concienciación y formación específicas vinculadas a
privacidad de la información y los incidentes de privacidad.
A.7.2.3 6.4.2.3 Sin cambios
A.7.3.1 6.4.3.1 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.8)

ISO 27001 ISO 27701 Cambios

A.8.1.1 6.5.1.1 Sin cambios
A.8.1.2 6.5.1.2 Sin cambios
A.8.1.3 6.5.1.3 Sin cambios
A.8.1.4 6.5.1.4 Sin cambios
A.8.2.1 6.5.2.1 Deben incluirse los datos de carácter personal dentro del sistema de clasificación de la
información implementado en la organización.
A.8.2.2 6.5.2.2 La organización debe asegurarse que la información de carácter personal sea reconocible.
A.8.2.3 6.5.2.3 Sin cambios
A.8.3.1 6.5.3.1 Se deben implementar medidas especiales para los disposi vos extraíbles que contengan
datos de carácter personal, con especial atención al uso de la criptogra a.
A.8.3.2 6.5.3.2 Deben documentarse y aplicarse procedimientos de destrucción/eliminación segura de los
disposi vos extraíbles vinculados a datos de carácter personal.
A.8.3.3 6.5.3.3 Se debe implementar un registro de los medios sicos en tránsito vinculados a datos de
carácter personal, además de valorar la implementación de sistemas de protección
criptográficos.
 Cambios en el SGSI para la implantación de un SGPI (A.9)
ISO 27001 ISO 27701 Cambios
A.9.1.1 6.6.1.1 Sin cambios
A.9.1.2 6.6.1.2 Sin cambios
A.9.2.1 6.6.2.1 El proceso de registro y baja de usuarios debe implementar procesos especiales para los
usuarios vinculados a los datos de carácter personal, especialmente en lo referido a
situaciones en la que la información pueda verse comprome da.
A.9.2.2 6.6.2.2 Se deben registrar los usuarios y privilegios de las personas vinculadas a datos de carácter
personal, así como proveer al cliente de un acceso de ges ón en caso de ser necesario.
A.9.2.3 6.6.2.3 Sin cambios
A.9.2.4 6.6.2.4 Sin cambios
A.9.2.5 6.6.2.5 Sin cambios
ISO 27001
A.9.2.6 ISO 27701
6.6.2.6 Sin cambios Cambios
A.9.3.1 6.6.3.1 Sin cambios
A.9.4.1 6.6.4.1 Sin cambios
A.9.4.2 6.6.4.2 Si es necesario, se debe proveer al cliente de métodos de inicio de sesión a los sistemas
vinculados a los datos de carácter personal.
A.9.4.3 6.6.4.3 Sin cambios
A.9.4.4 6.6.4.4 Sin cambios
A.9.4.5 6.6.4.5 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.10)

ISO 27001 ISO 27701 Cambios

A.10.1.1 6.7.1.1 Se deben implementar los sistemas criptográficos requeridos por la legislación aplicable, así
como aportar al cliente, en caso de ser necesario, la información sobre la propia
implementación de la criptogra a para la protección de los datos de carácter personal.
A.10.1.2 6.7.1.2 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.11)
ISO 27001 ISO 27701 Cambios
A.11.1.1 6.8.3.1 Sin cambios
A.11.1.2 6.8.3.2 Sin cambios
A.11.1.3 6.8.3.3 Sin cambios
A.11.1.4 6.8.3.4 Sin cambios
A.11.1.5 6.8.3.5 Sin cambios
ISO 27001
A.11.1.6 ISO 27701
6.8.3.6 Sin cambios Cambios
A.11.2.1 6.8.3.1 Sin cambios
A.11.2.2 6.8.3.2 Sin cambios
A.11.2.3 6.8.3.3 Sin cambios
A.11.2.4 6.8.3.4 Sin cambios
A.11.2.5 6.8.3.5 Sin cambios
A.11.2.6 6.8.3.6 Sin cambios
A.11.2.7 6.8.3.7 Se deben implementar salvaguardas para asegurar que los espacios de almacenamiento de
información u lizados previamente para almacenar datos de carácter personal no permiten
acceder a esta información posteriormente.
A.11.2.8 6.8.3.8 Sin cambios
A.11.2.9 6.8.3.9 La organización debe limitar el uso de copias impresas de información de carácter personal
al mínimo imprescindible para la operación.
 Cambios en el SGSI para la implantación de un SGPI (A.12)

ISO 27001 ISO 27701 Cambios

A.12.1.1 6.9.1.1 Sin cambios
A.12.1.2 6.9.1.2 Sin cambios
A.12.1.3 6.9.1.3 Sin cambios
A.12.1.4 6.9.1.4 Sin cambios
A.12.1.5 6.9.1.5 Sin cambios
A.12.2.1 6.9.2.1 Sin cambios
A.12.3.1 6.9.3.1 Se debe crear una polí ca vinculada al proceso de copia de seguridad de datos de carácter
personal, e informar de los aspectos relevantes al cliente en caso de ser el responsable del
proceso. Las restauraciones deben registrarse y el proceso de restauración debe asegurar
que se devuelve la información a un estado anterior en el que se garan ce la integridad.
 Cambios en el SGSI para la implantación de un SGPI (A.12)

ISO 27001 ISO 27701 Cambios

A.12.4.1 6.9.4.1 Es necesario registrar todos los eventos relevantes para la protección de los datos de
carácter personal, así como revisar los mismos de forma periódica.
A.12.4.2 6.9.4.2 La organización debe implementar medidas para garan zar que el acceso a los registros de
eventos son u lizados solo para los fines para los que fueron almacenados, en la medida en
que estos registros pueden contener datos de carácter personal. Se debe dar prioridad a los
sistemas automa zados de borrado o anonimizado.
A.12.4.3 6.9.4.3 Sin cambios
A.12.4.4 6.9.4.4 Sin cambios
A.12.5.1 6.9.5.1 Sin cambios
A.12.6.1 6.9.6.1 Sin cambios
A.12.6.2 6.9.6.2 Sin cambios
A.12.7.1 6.9.7.1 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.13)

ISO 27001 ISO 27701 Cambios

A.13.1.1 6.10.1.1 Sin cambios
A.13.1.2 6.10.1.2 Sin cambios
A.13.1.3 6.10.1.3 Sin cambios
A.13.2.1 6.10.2.1 La organización debe asegurarse que las normas vinculadas al procesamiento de datos de
carácter personal tanto dentro como fuera del sistema cuando sea necesario.
A.13.2.2 6.10.2.2 Sin cambios
A.13.2.3 6.10.2.3 Sin cambios
A.13.2.4 6.10.2.4 Los acuerdos alcanzados deben contener obligación de confidencialidad con mención
expresa a la vigencia del deber, estos acuerdos deben incluir a los trabajadores de la tercera
en dad y a otros relacionados.
 Cambios en el SGSI para la implantación de un SGPI (A.14)

ISO 27001 ISO 27701 Cambios

A.14.1.1 6.11.1.1 Sin cambios
A.14.1.2 6.11.1.2 La información enviada a través de redes inseguras debe cifrarse.
A.14.1.3 6.11.1.3 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.14)

ISO 27001 ISO 27701 Cambios

A.14.2.1 6.11.2.1 La polí ca de desarrollo seguro debe contemplar las obligaciones de la organización
rela vos a datos de carácter personal, incluyendo principios de privacidad en el ciclo de
vida, incluyendo la privacidad como un requisito de la fase de diseño, obje vos de
privacidad como hitos del desarrollo, requiriendo conocimientos sobre privacidad y
minimizando al máximo el procesamiento de datos de carácter personal.
A.14.2.2 6.11.2.2 Sin cambios
A.14.2.3 6.11.2.3 Sin cambios
A.14.2.4 6.11.2.4 Sin cambios
A.14.2.5 6.11.2.5 El desarrollo debe contemplar el principio de privacidad por diseño y privacidad por
defecto.
A.14.2.6 6.11.2.6 Sin cambios
A.14.2.7 6.11.2.7 Los encargados del desarrollo externalizado deben respetar los principios anteriores.
A.14.2.8 6.11.2.8 Sin cambios
A.14.2.9 6.11.2.9 Sin cambios
A.14.3.1 6.11.3.1 Se debe evitar el uso de datos de carácter personal como datos de prueba, prefiriéndose en
su lugar datos falso o generados ad-hoc. En caso de no ser posible, se deben implementar
medidas para minimizar el riesgo derivados del uso de datos de carácter personal.
 Cambios en el SGSI para la implantación de un SGPI (A.15)

ISO 27001 ISO 27701 Cambios

A.15.1.1 6.12.1.1 Sin cambios
A.15.1.2 6.12.1.2 En el caso de acuerdos en los que haya tratamiento de datos de carácter personal, el
contrato debe especificar las medidas técnicas y organiza vas mínimas que el proveedor
debe respetar. Estos acuerdos deben especificar las responsabilidades de las partes, así
como especificar las formas en que cada una de ellas puede verificar el cumplimiento por
parte de las otras.
A.15.1.3 6.12.1.3 Sin cambios
A.15.2.1 6.12.2.1 Sin cambios
A.15.2.2 6.12.2.2 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.16)

ISO 27001 ISO 27701 Cambios

A.16.1.1 6.13.1.1 Los procedimientos vinculados a incidentes de seguridad de la información deben incluir
procedimientos y responsabilidades específicos para caso de incidentes de privacidad de la
información.
A.16.1.2 6.13.1.2 Sin cambios
A.16.1.3 6.13.1.3 Sin cambios
A.16.1.4 6.13.1.4 Sin cambios
A.16.1.5 6.13.1.5 Los incidentes que afectes a datos de carácter personal deben generar una respuesta
específica y procedimentada de la organización, teniendo en cuenta los requisitos legales
aplicables para estos casos; incluyendo la no ficación a las autoridades y partes afectadas y
los registros de la inves gación.
A.16.1.6 6.13.1.6 Sin cambios
A.16.1.7 6.13.1.7 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.17)

ISO 27001 ISO 27701 Cambios

A.17.1.1 6.14.1.1 Sin cambios
A.17.1.2 6.14.1.2 Sin cambios
A.17.1.3 6.14.1.3 Sin cambios
A.17.2.1 6.14.2.1 Sin cambios
 Cambios en el SGSI para la implantación de un SGPI (A.18)

ISO 27001 ISO 27701 Cambios

A.18.1.1 6.15.1.1 La organización debe iden ficar las posibles sanciones derivadas del procesamiento de
datos de carácter personal.
A.18.1.2 6.15.1.2 Sin cambios
A.18.1.3 6.15.1.3 Se deben guardar registros históricos de las polí cas vinculadas a datos de carácter
personal.
A.18.1.4 6.15.1.4 Sin cambios
A.18.1.5 6.15.1.5 Sin cambios
A.18.2.1 6.15.2.1 La organización que actúe como encargado del tratamiento debe permi r la revisión del
cumplimiento de todas sus obligaciones rela vas a seguridad de los datos de carácter
personal.
A.18.2.2 6.15.2.2 Sin cambios
A.18.2.3 6.15.2.3 Dentro de la revisión técnica del cumplimiento, se debe incluir la revisión de las
herramientas y componentes del sistemas vinculados a tratamiento de datos personales,
incluyendo la verificación directa, los test de penetración y los test de vulnerabilidades.
 Anexo A del SGPI – Responsables del tratamiento

Dominios Controles Contenido

A.7.2 8 Condiciones para la recolección y el tratamiento
A.7.3 10 Obligaciones respecto de los propietarios de los datos
A.7.4 9 Privacidad por diseño y privacidad por defecto
A.7.5 4 Compar ción, transferencia y revelación de datos de carácter personal
 Anexo B del SGPI – Encargados del tratamiento

Dominios Controles Contenido

A.8.2 6 Condiciones para la recolección y el tratamiento
A.8.3 1 Obligaciones respecto de los propietarios de los datos
A.8.4 3 Privacidad por diseño y privacidad por defecto
A.8.5 8 Compar ción, transferencia y revelación de datos de carácter personal
 Camino de la Zarzuela, 15 | Bloque 2, 1ª Planta | 28023 Madrid
902 44 9001 · +34 91 307 86 48 | Fax: 91 357 40 28
www.eqa.es | [email protected]

Andalucía | Cataluña | C. Valenciana | Galicia | Madrid