Certificación ISO con alcance definido, verificación pública y operación local en Argentina. Por qué G-CERTI

Inicio/Guías/Guía · Privacidad

Guía · Privacidad

ISO/IEC 27701:2025 en Argentina: gestión de privacidad para empresas que manejan datos personales

La edición 2025 dejó de ser una extensión de 27001: ahora una empresa argentina certifica cómo trata datos personales por sí sola, bajo la Ley 25.326.

ARScotización local y factura argentina
Federalauditoría remota, híbrida y multisede
Globalverificación pública en gcerti.org

Por Fernando Arrieta · Director Regional de G-CERTI Argentina

En Argentina, tratar datos personales dejó de ser un trámite de fondo. Una empresa que guarda padrones de clientes, legajos de empleados, historias clínicas o bases de contacto para marketing administra información que la ley protege y que sus propios clientes le exigen cuidar. La Ley 25.326 de Protección de Datos Personales fija el piso legal desde hace más de dos décadas. Lo que faltaba, del lado del management, era un método verificable para demostrar que ese cuidado existe y funciona. Ese método tiene ahora una norma propia: ISO/IEC 27701:2025.

Esta guía explica qué es ISO/IEC 27701 en su edición 2025, qué cambió respecto de la versión anterior, cómo se relaciona con la Ley 25.326 argentina y cómo una empresa local llega a un certificado que un tercero pueda verificar. Un punto que ordena todo lo que sigue: la certificación 27701 recae sobre el sistema de gestión de privacidad de una organización, no sobre un producto, una base de datos ni una persona. No certifica que una base sea «legal»; certifica que la empresa gestiona la privacidad de la información personal de forma sistemática y auditable.

Cumplir con la ley se declara. Gestionar la privacidad se demuestra.

El cambio de fondo

27701 dejó de ser una extensión

Durante seis años, ISO/IEC 27701 fue una extensión. La edición 2019 no se podía implementar sola: exigía un SGSI ISO/IEC 27001 previo, y agregaba encima los requisitos de privacidad. Quien quería certificar privacidad tenía que certificar seguridad de la información primero, sí o sí.

La edición ISO/IEC 27701:2025, publicada el 14 de octubre de 2025, cambia esa arquitectura. Es una norma de sistema de gestión standalone y certificable por sí sola: tiene sus propias cláusulas 4 a 10, con la estructura de alto nivel común a todas las normas ISO de sistemas de gestión, y ya no depende de un 27001 previo para existir.

Esto tiene una consecuencia práctica para el mercado argentino. Una empresa cuyo problema real es la privacidad de datos personales —una plataforma de salud, una empresa de recursos humanos, una agencia de marketing con bases de terceros— ya no está obligada a montar todo el aparato de seguridad de la información de 27001 antes de poder certificar cómo trata esos datos. Puede implementar 27701 de forma independiente, o integrarla a un SGSI si ya lo tiene. La decisión pasa a ser de negocio, no de dependencia normativa.

Para las organizaciones que certificaron contra la edición 2019, hay un período de transición de tres años hacia la edición 2025, con plazo hacia octubre de 2028 para completar la auditoría de transición.

Un sistema de gestión de privacidad no se hereda de uno de seguridad. Se construye sobre la pregunta que la seguridad no hace: no solo cómo se protege el dato, sino con qué derecho se lo tiene.

Qué cubre

Qué es un PIMS y qué abarca

ISO/IEC 27701 define un Sistema de Gestión de Privacidad de la Información —PIMS, por sus siglas en inglés—. Donde 27001 gestiona la seguridad de toda la información de una organización, 27701 se concentra en un subconjunto crítico: la información de identificación personal (PII), es decir, los datos que permiten identificar a una persona.

La norma organiza sus exigencias en dos capas, igual que la familia 27000.

El cuerpo de la norma (cláusulas 4 a 10)

Establece el contexto de la organización, el liderazgo, la planificación basada en riesgos de privacidad, el apoyo, la operación, la evaluación del desempeño y la mejora —el ciclo de gestión que hace que la privacidad no sea una política escrita y olvidada, sino un sistema que se revisa, se audita y se corrige—. Sobre esa base común, la edición 2025 agrega dos cláusulas propias que antes no existían de forma independiente: una con los requisitos de privacidad que amplían a ISO/IEC 27001, y otra con los que amplían a ISO/IEC 27002. A partir de ahí, la norma separa la guía según el rol: un bloque para cuando la organización actúa como controladora de los datos y otro para cuando actúa como encargada.

Los controles de privacidad

Aquí está la diferencia sustantiva con la seguridad de la información. Los controles de 27701 se agrupan en anexos separados según el rol: uno con los controles de referencia para cuando la empresa decide sobre los datos, y otro con los controles para cuando solo los procesa por encargo. Un mismo prestador puede ser las dos cosas a la vez, para bases distintas. Definir con precisión qué rol cumple la organización sobre cada conjunto de datos es el primer trabajo serio de un PIMS, y el que más se subestima.

27701 distingue dos roles que la Ley 25.326 también reconoce, con otra terminología:

Responsable del tratamiento

El controlador de PII: la organización que decide para qué y cómo se tratan los datos personales. En términos de la ley argentina, el responsable de la base de datos.

Encargado del tratamiento

El procesador de PII: la organización que trata datos personales por cuenta de otra —el proveedor de nube, el BPO, la plataforma que procesa datos de un cliente que sigue siendo el dueño de la relación—.

El Anexo de controles no es una checklist obligatoria. Como en toda la familia 27000, los controles son un catálogo de referencia. La empresa evalúa primero sus riesgos de privacidad —qué datos trata, de quién, con qué finalidad, bajo qué base legal— y en función de eso decide qué controles aplica. Certificar 27701 no es «tener todos los controles»: es demostrar que el conjunto elegido responde a un análisis real de los riesgos de privacidad de esa organización.

Ángulo argentino

27701 y la Ley 25.326

Acá es donde la norma internacional se cruza con la realidad regulatoria local, y donde conviene ser preciso sin invadir terreno legal.

La Ley 25.326 fija el marco

La Ley de Protección de Datos Personales rige en Argentina el tratamiento de datos personales, con la Agencia de Acceso a la Información Pública (AAIP) como autoridad de aplicación —función que le atribuyó el Decreto 746/2017—. Es una ley con más de dos décadas de vigencia, anterior a la economía de datos actual. Su reforma integral está en trámite legislativo: hay más de un proyecto en danza en el Congreso, inspirados en un anteproyecto elaborado por la propia AAIP que perdió estado parlamentario a fines de 2024, todos orientados a alinear el régimen argentino con estándares internacionales como el RGPD europeo. Ninguno está aprobado a la fecha; la prudencia editorial acá es no anticipar un texto que todavía puede cambiar en el debate parlamentario.

27701 no reemplaza a la ley, ni la ley obliga a certificar 27701. Son planos distintos que conviene no confundir. La Ley 25.326 es de cumplimiento obligatorio; ISO/IEC 27701 es una norma voluntaria de gestión. Certificar 27701 no equivale a «estar en regla» con la AAIP, y estar en regla con la AAIP no equivale a tener un PIMS. Lo que 27701 aporta es un método reconocido internacionalmente para gestionar la privacidad, que ordena buena parte de lo que la ley exige y produce la evidencia que un cliente, un socio o un regulador puede querer ver.

Por qué le sirve a una empresa argentina, en concreto

  • Clientes que exigen tratamiento de datos verificable. Igual que con la seguridad de la información, un cliente corporativo —local o del exterior— cada vez más incluye la privacidad en su due diligence. Un PIMS certificado responde de una vez lo que de otro modo son cuestionarios repetidos.
  • Exportación de servicios y transferencias internacionales. Una empresa que procesa datos de clientes europeos o de otras jurisdicciones opera bajo marcos como el RGPD. 27701 no otorga cumplimiento del RGPD, pero se mapea con sus principios y facilita demostrar madurez de gestión ante un cliente que sí está obligado por él.
  • Sectores con datos sensibles. Salud, seguros, recursos humanos, educación y fintech tratan categorías de datos que la ley protege con especial cuidado. En estos rubros, un PIMS ordena obligaciones que de otro modo viven dispersas entre el área legal y la de sistemas.
  • Anticiparse a la reforma. Si el marco legal argentino se moderniza hacia estándares tipo RGPD —responsabilidad proactiva, privacidad desde el diseño, nuevos derechos del titular—, la organización que ya opera un PIMS parte de una base construida, no de cero.

Podés cruzar la adopción de normas de la familia 27000 por sector y provincia en el Observatorio ISO Argentina.

27701 y 27001

Cuándo cada una, cuándo las dos

La pregunta que más aparece: si ya se tiene o se busca 27001, ¿hace falta 27701? ¿Y al revés? La decisión no se toma por moda ni por completar una colección de certificados. Se toma mirando qué activo de información pone en riesgo el negocio.

EscenarioQué cubreCuándo es la respuesta
Solo 27001La seguridad de la información en general. No aborda de forma específica los derechos de los titulares de datos ni la distinción responsable/encargado.Cuando el problema del negocio es demostrar que la información de los clientes está protegida —el caso típico de software, SaaS y BPO—.
Solo 27701La gestión de privacidad de datos personales. Desde la edición 2025 se puede implementar y certificar de forma independiente.Cuando el problema central es el dato personal en sí: su finalidad, su base legal, los derechos de las personas, las transferencias.
Las dos, integradasUn mismo sistema de gestión, una misma auditoría, dos alcances complementarios.El escenario más sólido para una organización que maneja información de terceros y datos personales a escala.

Para muchas empresas argentinas de tecnología, la conversación de privacidad es la que sigue naturalmente a la de seguridad: si el activo en riesgo es la información en general, 27001; si es el dato personal y el derecho de su titular, 27701; si son ambos y a escala, las dos. Para el detalle del marco de seguridad, ver la guía de ISO/IEC 27001 en Argentina.

Cómo se certifica

La lógica del proceso

El camino hacia un certificado 27701 sigue la misma lógica que cualquier certificación de sistema de gestión bajo ISO/IEC 17021-1, la norma que rige a los organismos de certificación.

  • Definición del alcance. Qué datos personales, de qué procesos, bajo qué rol (responsable, encargado o ambos). Este paso condiciona todo lo demás y es donde una definición apresurada genera un sistema inauditable.
  • Diagnóstico y construcción del PIMS. La organización identifica sus riesgos de privacidad, define su base legal de tratamiento, implementa los controles pertinentes y documenta el sistema. Este trabajo lo hace la empresa —con sus recursos internos o con un consultor independiente—, nunca el organismo que después va a certificar: quien prepara no puede ser quien certifica.
  • Auditoría de certificación en dos etapas. Una etapa 1 de revisión documental y de preparación, y una etapa 2 sobre la implementación efectiva del PIMS.
  • Decisión de certificación. La toma el organismo, a través de personas que no participaron de la auditoría, sobre la base de la evidencia. Esa separación entre quien audita y quien decide es una condición de imparcialidad, no un formalismo.
  • Mantenimiento del certificado. Vigilancias periódicas durante el ciclo y una recertificación al cierre. Un certificado no es una foto: es la confirmación continua de que el sistema sigue funcionando.

Una aclaración que ordena la relación con G-CERTI: el organismo de certificación no implementa el PIMS ni asesora sobre cómo cumplir la Ley 25.326. Certifica, con independencia, el sistema que la organización construyó. Formar personas y certificar empresas son procesos distintos, con dueños distintos.

Un PIMS no vale por el certificado que cuelga en la pared. Vale por lo que la empresa deja de improvisar el día que un titular pide que borren sus datos.

El detalle del proceso general en Argentina —diagnóstico de alcance, etapas de auditoría y decisión— vive en la guía del proceso.

Ver cómo se certifica en Argentina

Preguntas frecuentes

Preguntas frecuentes.

¿ISO/IEC 27701:2025 sigue siendo una extensión de ISO 27001?

No. Ese era el modelo de la edición 2019. Desde la edición 2025 (publicada el 14 de octubre de 2025), ISO/IEC 27701 es una norma de sistema de gestión standalone y certificable por sí sola: tiene sus propias cláusulas 4 a 10 y no requiere un SGSI 27001 previo. Puede implementarse de forma independiente o integrarse a un 27001 existente.

¿Certificar ISO 27701 significa que mi empresa cumple con la Ley 25.326?

No de forma automática. La Ley 25.326 es de cumplimiento obligatorio en Argentina y su autoridad de aplicación es la AAIP; ISO/IEC 27701 es una norma voluntaria de gestión. El PIMS ordena buena parte de lo que la ley exige y genera evidencia verificable, pero certificar no reemplaza la obligación legal ni la evaluación de la autoridad. Son planos distintos y complementarios.

¿Qué diferencia hay entre ISO 27001 y ISO 27701?

27001 gestiona la seguridad de toda la información de una organización. 27701 se concentra en la privacidad de los datos personales: los derechos de los titulares, las finalidades del tratamiento y la distinción entre responsable y encargado del tratamiento. Una cubre cómo se protege la información; la otra, con qué derecho y bajo qué reglas se tratan los datos de las personas.

¿Mi empresa es responsable o encargada del tratamiento?

Depende de cada conjunto de datos. Es responsable cuando decide para qué y cómo se tratan los datos —su propia base de clientes o empleados—; es encargada cuando los procesa por cuenta de otro que sigue siendo el dueño de la relación —el caso de un proveedor de nube o un BPO—. Una misma empresa suele ser las dos cosas a la vez, para bases distintas. Definir ese rol por cada conjunto de datos es el primer trabajo de un PIMS.

¿La formación en ISO 27701 certifica a mi empresa?

No. La formación es académica y profesional, y prepara a personas. La certificación de una empresa requiere una auditoría y una decisión técnica independiente del organismo de certificación. Son procesos distintos, con dueños distintos: formar no es certificar.

¿Cuánto tarda certificar ISO 27701?

Depende del alcance, de los volúmenes y tipos de datos personales, de la cantidad de procesos y sedes, y del estado del sistema de gestión. El plazo se define en la propuesta formal, después del diagnóstico de alcance, y no antes: cotizar seriamente exige conocer primero qué se va a certificar.

Siguiente paso

De la consulta a la propuesta.

Encuadramos alcance, sedes, dotación y tiempos con lectura local, en pesos, antes de iniciar una auditoría formal.

Cotizar certificación
WhatsApp