Blog Jurídico - TECH
Menú
Artículos
23 de octubre de 2025

La ISO/IEC 27701:2025 y la evolución de la gestión de la Privacidad

El artículo examina la actualización de la ISO/IEC 27701:2025, destacando su papel en la consolidación de la privacidad como disciplina certificable dentro de los sistemas de gestión de información. Asimismo, analiza cómo la adopción de estos estándares representa para Colombia una oportunidad estratégica para fortalecer su marco normativo, armonizarlo con las mejores prácticas internacionales y optimizar los mecanismos de vigilancia, control y certificación en materia de protección de datos personales.

Por: Judith Salazar Bahamón* – Egresada de la Maestría en Derecho del Estado con énfasis en Regulación y Gestión de las Telecomunicaciones y las TIC – U. Externado

A medida que las organizaciones gestionan volúmenes cada vez mayores de datos personales, la privacidad ha dejado de ser un simple requisito para convertirse en un pilar esencial de la confianza digital. Actualmente, las políticas de protección y privacidad de la información de identificación personal (IIP) avanzan hacia la armonización de estándares internacionales y marcos regulatorios, con el propósito de consolidar sistemas que garanticen la reciprocidad y coherencia normativa entre las naciones.

La ISO/IEC 27701:2025 surge en un momento clave. Los reguladores de todo el mundo están convergiendo hacia modelos de privacidad basados en la responsabilidad, desde el RGPD europeo y la Ley de Protección de Datos del Reino Unido, hasta el CBPR de APEC y las legislaciones estatales de privacidad en Estados Unidos.

La publicación conjunta de las normas ISO/IEC 27701:2025 e ISO/IEC 27706:2025 redefine la gestión de la privacidad como una disciplina certificable, equiparándola en relevancia a la seguridad de la información y, cada vez más, a la gobernanza de la inteligencia artificial (IA). En conjunto, ambas normas cierran la brecha entre privacidad, responsabilidad y auditoría. Para reafirmar que la privacidad no es un componente accesorio, sino un elemento central de los sistemas de seguridad y confianza.

Las normas ISO/IEC 27701:2025 e ISO/IEC 27706:2025 conforman el nuevo marco internacional para la gestión y certificación de la privacidad de la información. La ISO/IEC 27701:2025 establece los requisitos para crear, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS)1, orientado a garantizar una administración eficaz y responsable de los datos personales. Por su parte, la ISO/IEC 27706:2025 define las directrices para la acreditación y auditoría de los organismos de certificación, lo cual asegura la coherencia y trazabilidad global del proceso. En conjunto, la versión 2025 amplía el alcance de la edición de 2019, consolidando un sistema integral que articula cumplimiento normativo, rendición de cuentas y gobernanza.

En su nueva versión, la ISO/IEC 27701 se consolida como un sistema de gestión independiente, con un conjunto completo de cláusulas que permite obtener la certificación PIMS de manera autónoma. Asimismo, los organismos certificadores pueden acreditarse conforme a la ISO/IEC 17021-1 a través de la ISO/IEC 27706:2025, garantizando coherencia y trazabilidad global en los procesos de auditoría. Con ello, la competencia de los auditores y la metodología de evaluación quedan estandarizadas, cerrando la brecha de calidad en las certificaciones de privacidad.

Al adoptar la Estructura de Alto Nivel (HLS), la ISO/IEC 27701:2025 se alinea con la ISO/IEC 27001 (Seguridad de la Información) y la ISO/IEC 42001 (Sistema de Gestión de IA), creando una arquitectura unificada que respalda la gobernanza integrada de tres pilares fundamentales:

  • Seguridad de la información (confidencialidad, integridad y disponibilidad)
  • Privacidad (legalidad, equidad y transparencia)
  • Inteligencia artificial (uso ético y responsable)

Para las organizaciones que ya operan un SGSI, la integración en un entorno PIMS–AIMS resulta ágil, pues comparten las mismas cláusulas de gestión, métricas de desempeño y ciclos de mejora continua.

Dado que la adopción voluntaria de normas ha demostrado ser insuficiente, sería conveniente avanzar hacia la obligatoriedad de cumplir con estándares internacionalmente reconocidos, con el fin de consolidar un marco regulatorio sólido, coherente y homogéneo que eleve los niveles de protección de datos personales, confianza digital y competitividad institucional en el ámbito nacional.

En Colombia, actualmente cursan proyectos de ley orientados a modernizar el régimen de protección de datos personales, lo que representa una oportunidad estratégica para aprovechar los beneficios de estándares internacionales consensuados por expertos. Estos estándares, diseñados para todo tipo de organizaciones y sectores, son compatibles entre sí y pueden implementarse de forma independiente o integrada dentro de un Sistema de Gestión Integrado (SGI). En este contexto, regular la protección de datos personales mediante un estándar internacional, como la ISO/IEC 27701, permitiría al país fortalecer su marco normativo, mejorar la competitividad y consolidar la confianza digital.

Colombia cuenta con las capacidades institucionales y técnicas necesarias para implementar un Sistema Nacional de Gestión de la Privacidad de la Información. El Organismo Nacional de Acreditación de Colombia (ONAC) posee la competencia para acreditar a los organismos de certificación bajo la ISO/IEC 27706:2025, garantizando la calidad y trazabilidad de los procesos de auditoría. A su vez, las entidades certificadoras nacionales disponen de las competencias técnicas para auditar e implementar evaluaciones de conformidad de acuerdo con los lineamientos del PIMS. Por su parte, la Superintendencia de Industria y Comercio (SIC), como autoridad de vigilancia y control, puede articular sus funciones con este esquema de certificación, fortaleciendo los mecanismos de supervisión y cumplimiento en el territorio nacional.

Esta articulación institucional representa una oportunidad estratégica para alinear la legislación nacional con las mejores prácticas internacionales en materia de privacidad y seguridad de la información. La integración del sistema de certificación en la infraestructura existente de vigilancia y control permitiría optimizar recursos, garantizar coherencia regulatoria y promover la confianza digital, elementos esenciales para consolidar un ecosistema nacional robusto de protección de datos personales y potenciar la competitividad de Colombia en la economía digital global.

  1. PIMS: Privacy Information Management System ↩︎

*Delegada de Protección de Datos (DPO) y Auditora Certificada ISO 27001.

*La entrada publicada en el Blog no refleja la opinión del Departamento de Derecho, Comunicaciones y Tecnologías de la Información. La autora es la única responsable del contenido y las opiniones expresadas en la misma.*

Imagen en iStock Melpomenem