Responsable del tratamiento
El controlador de PII: la organización que decide para qué y cómo se tratan los datos personales. En términos de la ley argentina, el responsable de la base de datos.
Inicio/Guías/Guía · Privacidad
Guía · Privacidad
La edición 2025 dejó de ser una extensión de 27001: ahora una empresa argentina certifica cómo trata datos personales por sí sola, bajo la Ley 25.326.
Por Fernando Arrieta · Director Regional de G-CERTI Argentina
En Argentina, tratar datos personales dejó de ser un trámite de fondo. Una empresa que guarda padrones de clientes, legajos de empleados, historias clínicas o bases de contacto para marketing administra información que la ley protege y que sus propios clientes le exigen cuidar. La Ley 25.326 de Protección de Datos Personales fija el piso legal desde hace más de dos décadas. Lo que faltaba, del lado del management, era un método verificable para demostrar que ese cuidado existe y funciona. Ese método tiene ahora una norma propia: ISO/IEC 27701:2025.
Esta guía explica qué es ISO/IEC 27701 en su edición 2025, qué cambió respecto de la versión anterior, cómo se relaciona con la Ley 25.326 argentina y cómo una empresa local llega a un certificado que un tercero pueda verificar. Un punto que ordena todo lo que sigue: la certificación 27701 recae sobre el sistema de gestión de privacidad de una organización, no sobre un producto, una base de datos ni una persona. No certifica que una base sea «legal»; certifica que la empresa gestiona la privacidad de la información personal de forma sistemática y auditable.
Cumplir con la ley se declara. Gestionar la privacidad se demuestra.
El cambio de fondo
Durante seis años, ISO/IEC 27701 fue una extensión. La edición 2019 no se podía implementar sola: exigía un SGSI ISO/IEC 27001 previo, y agregaba encima los requisitos de privacidad. Quien quería certificar privacidad tenía que certificar seguridad de la información primero, sí o sí.
La edición ISO/IEC 27701:2025, publicada el 14 de octubre de 2025, cambia esa arquitectura. Es una norma de sistema de gestión standalone y certificable por sí sola: tiene sus propias cláusulas 4 a 10, con la estructura de alto nivel común a todas las normas ISO de sistemas de gestión, y ya no depende de un 27001 previo para existir.
Esto tiene una consecuencia práctica para el mercado argentino. Una empresa cuyo problema real es la privacidad de datos personales —una plataforma de salud, una empresa de recursos humanos, una agencia de marketing con bases de terceros— ya no está obligada a montar todo el aparato de seguridad de la información de 27001 antes de poder certificar cómo trata esos datos. Puede implementar 27701 de forma independiente, o integrarla a un SGSI si ya lo tiene. La decisión pasa a ser de negocio, no de dependencia normativa.
Para las organizaciones que certificaron contra la edición 2019, hay un período de transición de tres años hacia la edición 2025, con plazo hacia octubre de 2028 para completar la auditoría de transición.
Un sistema de gestión de privacidad no se hereda de uno de seguridad. Se construye sobre la pregunta que la seguridad no hace: no solo cómo se protege el dato, sino con qué derecho se lo tiene.
Qué cubre
ISO/IEC 27701 define un Sistema de Gestión de Privacidad de la Información —PIMS, por sus siglas en inglés—. Donde 27001 gestiona la seguridad de toda la información de una organización, 27701 se concentra en un subconjunto crítico: la información de identificación personal (PII), es decir, los datos que permiten identificar a una persona.
La norma organiza sus exigencias en dos capas, igual que la familia 27000.
Establece el contexto de la organización, el liderazgo, la planificación basada en riesgos de privacidad, el apoyo, la operación, la evaluación del desempeño y la mejora —el ciclo de gestión que hace que la privacidad no sea una política escrita y olvidada, sino un sistema que se revisa, se audita y se corrige—. Sobre esa base común, la edición 2025 agrega dos cláusulas propias que antes no existían de forma independiente: una con los requisitos de privacidad que amplían a ISO/IEC 27001, y otra con los que amplían a ISO/IEC 27002. A partir de ahí, la norma separa la guía según el rol: un bloque para cuando la organización actúa como controladora de los datos y otro para cuando actúa como encargada.
Aquí está la diferencia sustantiva con la seguridad de la información. Los controles de 27701 se agrupan en anexos separados según el rol: uno con los controles de referencia para cuando la empresa decide sobre los datos, y otro con los controles para cuando solo los procesa por encargo. Un mismo prestador puede ser las dos cosas a la vez, para bases distintas. Definir con precisión qué rol cumple la organización sobre cada conjunto de datos es el primer trabajo serio de un PIMS, y el que más se subestima.
27701 distingue dos roles que la Ley 25.326 también reconoce, con otra terminología:
El controlador de PII: la organización que decide para qué y cómo se tratan los datos personales. En términos de la ley argentina, el responsable de la base de datos.
El procesador de PII: la organización que trata datos personales por cuenta de otra —el proveedor de nube, el BPO, la plataforma que procesa datos de un cliente que sigue siendo el dueño de la relación—.
El Anexo de controles no es una checklist obligatoria. Como en toda la familia 27000, los controles son un catálogo de referencia. La empresa evalúa primero sus riesgos de privacidad —qué datos trata, de quién, con qué finalidad, bajo qué base legal— y en función de eso decide qué controles aplica. Certificar 27701 no es «tener todos los controles»: es demostrar que el conjunto elegido responde a un análisis real de los riesgos de privacidad de esa organización.
Ángulo argentino
Acá es donde la norma internacional se cruza con la realidad regulatoria local, y donde conviene ser preciso sin invadir terreno legal.
La Ley de Protección de Datos Personales rige en Argentina el tratamiento de datos personales, con la Agencia de Acceso a la Información Pública (AAIP) como autoridad de aplicación —función que le atribuyó el Decreto 746/2017—. Es una ley con más de dos décadas de vigencia, anterior a la economía de datos actual. Su reforma integral está en trámite legislativo: hay más de un proyecto en danza en el Congreso, inspirados en un anteproyecto elaborado por la propia AAIP que perdió estado parlamentario a fines de 2024, todos orientados a alinear el régimen argentino con estándares internacionales como el RGPD europeo. Ninguno está aprobado a la fecha; la prudencia editorial acá es no anticipar un texto que todavía puede cambiar en el debate parlamentario.
27701 no reemplaza a la ley, ni la ley obliga a certificar 27701. Son planos distintos que conviene no confundir. La Ley 25.326 es de cumplimiento obligatorio; ISO/IEC 27701 es una norma voluntaria de gestión. Certificar 27701 no equivale a «estar en regla» con la AAIP, y estar en regla con la AAIP no equivale a tener un PIMS. Lo que 27701 aporta es un método reconocido internacionalmente para gestionar la privacidad, que ordena buena parte de lo que la ley exige y produce la evidencia que un cliente, un socio o un regulador puede querer ver.
Podés cruzar la adopción de normas de la familia 27000 por sector y provincia en el Observatorio ISO Argentina.
27701 y 27001
La pregunta que más aparece: si ya se tiene o se busca 27001, ¿hace falta 27701? ¿Y al revés? La decisión no se toma por moda ni por completar una colección de certificados. Se toma mirando qué activo de información pone en riesgo el negocio.
| Escenario | Qué cubre | Cuándo es la respuesta |
|---|---|---|
| Solo 27001 | La seguridad de la información en general. No aborda de forma específica los derechos de los titulares de datos ni la distinción responsable/encargado. | Cuando el problema del negocio es demostrar que la información de los clientes está protegida —el caso típico de software, SaaS y BPO—. |
| Solo 27701 | La gestión de privacidad de datos personales. Desde la edición 2025 se puede implementar y certificar de forma independiente. | Cuando el problema central es el dato personal en sí: su finalidad, su base legal, los derechos de las personas, las transferencias. |
| Las dos, integradas | Un mismo sistema de gestión, una misma auditoría, dos alcances complementarios. | El escenario más sólido para una organización que maneja información de terceros y datos personales a escala. |
Para muchas empresas argentinas de tecnología, la conversación de privacidad es la que sigue naturalmente a la de seguridad: si el activo en riesgo es la información en general, 27001; si es el dato personal y el derecho de su titular, 27701; si son ambos y a escala, las dos. Para el detalle del marco de seguridad, ver la guía de ISO/IEC 27001 en Argentina.
Cómo se certifica
El camino hacia un certificado 27701 sigue la misma lógica que cualquier certificación de sistema de gestión bajo ISO/IEC 17021-1, la norma que rige a los organismos de certificación.
Una aclaración que ordena la relación con G-CERTI: el organismo de certificación no implementa el PIMS ni asesora sobre cómo cumplir la Ley 25.326. Certifica, con independencia, el sistema que la organización construyó. Formar personas y certificar empresas son procesos distintos, con dueños distintos.
Un PIMS no vale por el certificado que cuelga en la pared. Vale por lo que la empresa deja de improvisar el día que un titular pide que borren sus datos.
El detalle del proceso general en Argentina —diagnóstico de alcance, etapas de auditoría y decisión— vive en la guía del proceso.
Ver cómo se certifica en ArgentinaPreguntas frecuentes
No. Ese era el modelo de la edición 2019. Desde la edición 2025 (publicada el 14 de octubre de 2025), ISO/IEC 27701 es una norma de sistema de gestión standalone y certificable por sí sola: tiene sus propias cláusulas 4 a 10 y no requiere un SGSI 27001 previo. Puede implementarse de forma independiente o integrarse a un 27001 existente.
No de forma automática. La Ley 25.326 es de cumplimiento obligatorio en Argentina y su autoridad de aplicación es la AAIP; ISO/IEC 27701 es una norma voluntaria de gestión. El PIMS ordena buena parte de lo que la ley exige y genera evidencia verificable, pero certificar no reemplaza la obligación legal ni la evaluación de la autoridad. Son planos distintos y complementarios.
27001 gestiona la seguridad de toda la información de una organización. 27701 se concentra en la privacidad de los datos personales: los derechos de los titulares, las finalidades del tratamiento y la distinción entre responsable y encargado del tratamiento. Una cubre cómo se protege la información; la otra, con qué derecho y bajo qué reglas se tratan los datos de las personas.
Depende de cada conjunto de datos. Es responsable cuando decide para qué y cómo se tratan los datos —su propia base de clientes o empleados—; es encargada cuando los procesa por cuenta de otro que sigue siendo el dueño de la relación —el caso de un proveedor de nube o un BPO—. Una misma empresa suele ser las dos cosas a la vez, para bases distintas. Definir ese rol por cada conjunto de datos es el primer trabajo de un PIMS.
No. La formación es académica y profesional, y prepara a personas. La certificación de una empresa requiere una auditoría y una decisión técnica independiente del organismo de certificación. Son procesos distintos, con dueños distintos: formar no es certificar.
Depende del alcance, de los volúmenes y tipos de datos personales, de la cantidad de procesos y sedes, y del estado del sistema de gestión. El plazo se define en la propuesta formal, después del diagnóstico de alcance, y no antes: cotizar seriamente exige conocer primero qué se va a certificar.
Siguiente paso
Encuadramos alcance, sedes, dotación y tiempos con lectura local, en pesos, antes de iniciar una auditoría formal.
Cotizar certificación