Responsable del tratamiento
En la norma, PII controller: quien decide para qué y cómo se tratan los datos. Es el rol de la empresa dueña de la relación con el titular del dato.
Inicio/Guías/Guía · Cluster tech
Guía · Cluster tech
Tres capas del mismo problema —demostrar que gobernás lo que te confían— y el orden en que conviene certificarlas.
Por Fernando Arrieta · Director Regional de G-CERTI Argentina
En una empresa de tecnología argentina, las tres preguntas llegan casi siempre en el mismo orden y de la misma boca: el área de compliance de un cliente. Primero: «¿cómo protegés la información que te confiamos?». Después, cuando el negocio escala y hay datos personales de por medio: «¿qué hacés con esos datos, con qué base y cómo probás que los borrás?». Y desde hace poco, cuando el producto incorpora modelos: «¿cómo gobernás la inteligencia artificial que tenés en producción?».
Cada una de esas preguntas tiene una norma internacional que la responde de forma auditada. ISO/IEC 27001 responde por la seguridad de la información. ISO/IEC 27701 responde por la privacidad de los datos personales. ISO/IEC 42001 responde por el gobierno de los sistemas de inteligencia artificial. Son tres capas distintas del mismo problema —demostrar que una empresa gobierna aquello que le confían— y en el cluster tecnológico se solapan tanto que conviene no confundirlas ni certificarlas a ciegas. Esta guía las compara con criterio: qué cubre cada una, en qué se diferencian, cómo se integran cuando conviene tener más de una, y por dónde empieza una empresa argentina según lo que hoy le exigen sus clientes y sus licitaciones. G-CERTI Argentina certifica sistemas de gestión bajo ISO/IEC 17021-1 —encuadra alcance, audita y decide—; no diseña el sistema ni asesora cómo construirlo.
Panorama
Antes del detalle, la distinción de fondo. Las tres comparten la misma estructura armonizada de las normas ISO de sistemas de gestión (las cláusulas 4 a 10: contexto, liderazgo, planificación, soporte, operación, evaluación y mejora), lo que las hace integrables entre sí y con normas que la empresa quizá ya tenga, como ISO 9001. Lo que cambia es qué gobiernan.
| ISO/IEC 27001 | ISO/IEC 27701 | ISO/IEC 42001 | |
|---|---|---|---|
| Qué gobierna | Seguridad de la información | Privacidad de datos personales | Sistemas de inteligencia artificial |
| Sistema de gestión | SGSI | PIMS | SGIA (AIMS) |
| Pregunta que responde | ¿La información está protegida (confidencialidad, integridad, disponibilidad)? | ¿Qué datos personales tratás, con qué base legal, cómo respetás los derechos del titular? | ¿Cómo desarrollás, desplegás y supervisás la IA de forma responsable? |
| Edición vigente | 2022 (+ Amd 1:2024, acción climática) | 2025 (standalone, certificable por sí sola) | 2023 (primera edición) |
| Anexo de controles | Anexo A — 93 controles en 4 temas | Controles de privacidad diferenciados por rol (responsable / encargado) | Anexo A — 38 controles en 9 grupos |
| Foco local AR | Cuestionarios de seguridad, clientes corporativos, exportación | Ley 25.326, datos sensibles, exportación a la UE | IA en producción, transparencia, gobierno de IA |
La lectura rápida: 27001 protege el dato, 27701 gobierna el dato personal, 42001 gobierna el sistema que decide sobre el dato. Una empresa puede necesitar una, dos o las tres, y el orden importa.
Seguridad
Es la norma base del cluster y, en Argentina, la más demandada por lejos. ISO/IEC 27001 certifica un Sistema de Gestión de la Seguridad de la Información (SGSI): el método con el que una organización protege la confidencialidad, la integridad y la disponibilidad de la información que maneja —propia y de terceros—.
La edición vigente es ISO/IEC 27001:2022, con un Anexo A de 93 controles organizados en cuatro temas: organizacionales, de personas, físicos y tecnológicos. La edición 2022 introdujo 11 controles nuevos frente a la anterior —entre ellos, inteligencia de amenazas, seguridad en la nube y borrado de la información— y una enmienda de 2024 (Amd 1:2024) que incorpora la consideración del cambio climático en el análisis de contexto. La transición desde la edición 2013 cerró el 31 de octubre de 2025: desde esa fecha, cualquier certificado emitido bajo 27001:2013 quedó expirado.
En el mercado tecnológico argentino, 27001 dejó de ser una inquietud del área de sistemas para convertirse en condición de venta. Cuando una software factory, una fintech o un BPO quiere cerrar con un cliente corporativo —local o del exterior— rara vez alcanza con que el producto funcione: hay que demostrar que la información está gestionada con un método verificable. El certificado 27001 es la respuesta reconocida a los cuestionarios de seguridad que hoy llegan por escrito en cada proceso de compras corporativo.
Quien recién empieza a ordenar su seguridad, casi siempre empieza por acá.
Privacidad
27001 protege la información; 27701 responde una pregunta distinta y más específica: qué se puede hacer legítimamente con los datos personales, y cómo se respetan los derechos de su titular. Certifica un Sistema de Gestión de la Privacidad de la Información (PIMS).
Un punto que ordena mucha confusión: la edición vigente de 27701 es de 2025 y es una norma de sistema de gestión standalone, certificable por sí sola. Hasta esa edición se publicaba como una extensión de 27001/27002 —no se podía certificar sin tener antes un SGSI—. La versión 2025 tiene sus propias cláusulas 4 a 10 y puede implementarse sola o integrada a un SGSI existente. Distintas fuentes técnicas del sector describen un anexo de controles reorganizado y diferenciado por rol; esta guía no fija un número de controles porque el detalle exacto conviene confirmarlo contra el texto oficial de la norma al encarar un proyecto concreto.
La norma distingue dos roles que el derecho de datos también reconoce, y que en Argentina se leen bajo la Ley 25.326:
En la norma, PII controller: quien decide para qué y cómo se tratan los datos. Es el rol de la empresa dueña de la relación con el titular del dato.
En la norma, PII processor: quien los trata por cuenta de un tercero —el caso típico del SaaS o el procesador de pagos que maneja datos de los clientes de su cliente—. Una misma empresa puede ser las dos cosas según el dato.
En Argentina, 27701 se lee bajo la Ley 25.326 de Protección de los Datos Personales, cuya autoridad de aplicación es la Agencia de Acceso a la Información Pública (AAIP). La norma no certifica el cumplimiento de esa ley —ningún organismo de certificación podría hacerlo—, pero el sistema de gestión que exige (identificar qué datos se tratan, con qué finalidad y base, cómo se atienden los derechos del titular, cómo se maneja el consentimiento y la retención) se superpone fuertemente con lo que el régimen local espera de un responsable serio. Hay más de un proyecto de reforma de la Ley 25.326 en trámite parlamentario —inspirados en el anteproyecto que trabajó la propia AAIP y orientados a acercar el régimen argentino a estándares como el RGPD europeo—, sin que a la fecha se haya convertido ninguno en ley; conviene seguir su curso antes de asumir cambios en las obligaciones vigentes. Su otro gran uso local es la exportación de servicios: un certificado 27701 vigente y verificable internacionalmente responde a las cláusulas de privacidad que llegan de clientes en la Unión Europea, el Reino Unido u otras jurisdicciones exigentes.
Gobierno de IA
Es la norma más nueva del cluster y la que ordena el problema que ninguna de las dos anteriores toca: cómo una organización desarrolla, despliega y supervisa sistemas de inteligencia artificial de forma responsable. Certifica un Sistema de Gestión de la IA (SGIA / AIMS).
ISO/IEC 42001:2023 es la primera edición y trae un Anexo A de 38 controles agrupados en 9 dominios (A.2 a A.10): políticas de IA, organización interna, recursos para los sistemas de IA, evaluación de impactos, ciclo de vida del sistema, datos para los sistemas de IA, información para las partes interesadas, uso de los sistemas, y relaciones con terceros y clientes. No es una norma técnica de machine learning: es una norma de gobierno. No pregunta qué modelo usás; pregunta quién responde por él, cómo evaluás su impacto antes de ponerlo en producción, cómo lo supervisás y cómo lo gobernás a lo largo de su ciclo de vida.
Una precisión importante de rigor: el ecosistema de acreditación de 42001 todavía está en consolidación a nivel internacional —a la fecha de esta guía, la norma no figura en el alcance del certificado de acreditación vigente de G-CERTI—. Por eso la certificación de gobierno de IA se comunica con esa salvedad, y no como un esquema plenamente acreditado equiparable al de 27001. Es un campo que se está construyendo, y conviene abordarlo con esa honestidad.
Vale además una distinción que suele generar expectativas equivocadas: certificarse en 42001 no equivale a «cumplir» con el Reglamento (UE) 2024/1689 de Inteligencia Artificial (EU AI Act). La norma se mapea con ese marco regulatorio —comparte vocabulario de gestión de riesgo, evaluación de impacto y supervisión— pero no es una norma armonizada que otorgue presunción de conformidad; esa pieza específica todavía se está desarrollando en Europa. Para una empresa argentina que exporta software con componentes de IA a clientes europeos, 42001 ordena el gobierno interno y facilita la conversación regulatoria, pero no sustituye el análisis legal del AI Act en cada caso.
Para una empresa de tecnología argentina que ya incorporó IA a su producto —scoring, recomendación, generación de texto, automatización de decisiones—, 42001 es el marco que le permite responder la tercera pregunta del área de compliance antes de que se la hagan. Y para quien exporta, empieza a ser el idioma común frente a marcos regulatorios extranjeros que ya piden gobierno de IA demostrable.
Diferencias
La diferencia de fondo es el objeto que gobierna cada una, y por ahí conviene entenderlas:
El solapamiento es real y buscado: las tres comparten cláusulas 4 a 10 idénticas en estructura, de modo que la evaluación de riesgos, la gestión documental, la revisión por la dirección y el tratamiento de no conformidades se montan una sola vez y se especializan por norma. Una empresa que ya tiene un SGSI 27001 maduro no rehace el andamiaje cuando suma privacidad o gobierno de IA: lo extiende. Esa es la ventaja de tratarlas como un sistema integrado y no como tres certificaciones sueltas.
La pregunta correcta no es «¿cuál de las tres?», sino «¿en qué orden, según lo que hoy me exigen?». Certificar la capa equivocada primero cuesta tiempo y dinero que el negocio no siempre tiene.
Por dónde empezar
No hay una respuesta única, pero sí una lógica de secuencia que funciona en el mercado local. El orden lo define lo que la empresa ya tiene enfrente, no la ambición del catálogo:
Si lo que traba ventas son los cuestionarios de seguridad de clientes corporativos —el caso más común—, el punto de partida es 27001. Es la moneda de cambio del mercado B2B tecnológico y la base sobre la que las otras dos se apoyan.
Si el negocio gira alrededor de datos personales —fintech con scoring, healthtech con historias clínicas, edtech con datos de menores, SaaS que procesa datos de los usuarios de sus clientes— y llegan pedidos de evidencia de privacidad, entra 27701, casi siempre integrada sobre un 27001 previo o simultáneo.
Si la empresa ya tiene IA en producción tomando o asistiendo decisiones, y quiere gobernarla antes de que un cliente, un regulador extranjero o un incidente la obliguen, entra 42001 —con la salvedad de que su esquema de acreditación está en consolidación—.
La decisión fina no se toma leyendo una tabla: se toma en el diagnóstico de alcance, donde se define razón social, sedes, dotación, procesos y sistemas de IA involucrados, y el estado real de cada sistema de gestión. Antes de eso, el autodiagnóstico orienta la conversación: qué norma pesa más para tu caso según sector, clientes y exposición. El cuidado de alcance vale para las tres: un certificado describe actividades reales. Un alcance inflado o artificial no fortalece la comunicación con el cliente —aumenta el riesgo de hallazgos en auditoría—.
Dos cosas que este proceso no incluye, por imparcialidad: G-CERTI no diseña el SGSI, el PIMS ni el SGIA de la empresa, no la asesora sobre cómo cumplir la Ley 25.326 ni ninguna regulación, y no vende implementación ni mantenimiento de normas. Certificamos lo que la organización construyó. La formación profesional en estas normas que ofrece la Academia es académica y no condiciona ni acelera la certificación de una empresa.
El autodiagnóstico orienta qué norma pesa más para tu caso; el diagnóstico de alcance define razón social, sedes, dotación y tiempos antes de cualquier auditoría formal.
Hacer el autodiagnósticoPreguntas frecuentes
27001 protege la información (seguridad), 27701 gobierna los datos personales (privacidad) y 42001 gobierna los sistemas de inteligencia artificial (gobierno de IA). Son tres capas distintas del mismo problema: demostrar de forma auditada que la empresa gobierna lo que le confían.
No necesariamente. Depende de tu sector, de lo que traten tus sistemas y de lo que te exijan tus clientes y licitaciones. Muchas empresas de tecnología empiezan por 27001, suman 27701 cuando los datos personales son centrales, y evalúan 42001 cuando tienen IA en producción. El orden se define en el diagnóstico de alcance.
27701:2025 es una norma standalone: se puede certificar por sí sola, aunque en la práctica suele integrarse con 27001 porque es la configuración más sólida. 42001 también es un sistema de gestión propio y no exige 27001 previo, si bien la seguridad de la información suele ser parte del contexto de una IA bien gobernada. La secuencia conveniente se define caso por caso.
Sí. Las tres comparten la estructura armonizada de las normas ISO de sistemas de gestión (cláusulas 4 a 10), de modo que el andamiaje común —riesgos, documentación, revisión por la dirección, no conformidades— se monta una vez y se especializa por norma. La auditoría integrada es habitual y suele ser más eficiente que tres procesos separados.
El esquema de acreditación de ISO/IEC 42001 está en consolidación a nivel internacional. Por eso la certificación de gobierno de IA se comunica con esa salvedad y no como un esquema equiparable en madurez al de 27001. Es un campo en construcción y lo abordamos con esa honestidad.
No. 42001 se mapea con el Reglamento (UE) 2024/1689 —comparte lógica de gestión de riesgo y supervisión— pero no es una norma armonizada que otorgue presunción de conformidad regulatoria. Ordena el gobierno interno de la IA; el cumplimiento puntual del AI Act requiere análisis legal propio.
No. Ninguna certificación promete un resultado. Estas normas demuestran que existe un sistema de gestión auditado y en funcionamiento a la fecha de la auditoría; reducen y ordenan el riesgo, pero no lo eliminan ni sustituyen la responsabilidad legal de la organización.
Siguiente paso
Encuadramos alcance, sedes, dotación y tiempos con lectura local, en pesos, antes de iniciar una auditoría formal.
Cotizar certificación