Servicios de consultoría y asesoría

¡Hola!, te compartimos el artículo de: Mayo, 2026

Protección de la privacidad con base en la norma ISO 27701
Por David Mondragón Tapia

Antecedentes

No obstante que para el 2025 se estimó que al menos el 75% de la población mundial, tendría protegidos sus datos personales mediante alguna ley de privacidad, los datos personales se encuentran cada vez más amenazados dentro del ciberespacio, debido entre otras razones a que los ataques y filtraciones siguen aumentando, causando cada trimestre que millones de registros queden expuestos para fines distintos a los autorizados por sus titulares. Dicha tendencia de endurecimiento regulativo, se viene presentando sobretodo en regiones como: Europa, Asia y América Latina, siendo el caso de México, uno a destacar debido al aumento en el número de solicitudes recibidas por el Instituto de Transparencia, con el propósito de proteger los datos personales, lo que refleja una mayor preocupación ciudadana por el mal uso de dicha información.

Desde la perspectiva de la ciberseguridad el panorama es más complejo y desafiante, no solo en México sino a nivel global, pues las amenazas muestran un proceso de evolución acelerado a raíz del “aprovechamiento” de la IA, lo que viene presionando a las organizaciones públicas y privadas para invertir más en seguridad y cumplimiento.

Amenazas y riesgos de la privacidad

En nuestros días, el derecho a la privacidad enfrenta amenazas persistentes como son:

  1. Filtraciones masivas de datos: en donde las empresas y los gobiernos, siguen siendo el blanco preferido de los ataques que logran exponer millones de registros personales, con datos como son: nombres, correos, contraseñas, datos financieros, entre otros.
  2. Rastreo digital y vigilancia: en donde a través del uso de diversas plataformas y aplicaciones populares, se recopila información sobre el comportamiento, ubicación y preferencias de las personas (ej. cookies persistentes y de rastreo), siendo esto sin un consentimiento claro en muchas ocasiones.
  3. Uso indebido de datos biométricos: cada vez es más común que se utilice el reconocimiento facial y las huellas digitales, con el propósito de fortalecer la seguridad en el control de acceso, sin embargo, su almacenamiento centralizado representa un riesgo considerable para la privacidad.
  4. Phishing y robo de identidad: finalmente tenemos los ataques de ingeniería social, que siguen siendo una de las principales maneras para obtener datos personales y posteriormente hacer un mal uso de estos.

No cabe duda que aunque las leyes en materia de privacidad avanzan en el mundo, los ataques también se vienen sofisticando, por lo que la sola regulación no garantiza tener una seguridad y protección de la privacidad de manera inmediata. Ante esta realidad, las organizaciones y las personas deben procurar algunas de las acciones siguientes:

  • Revisión periódica de las configuraciones de privacidad en redes sociales y aplicaciones.
  • Uso de contraseñas robustas y autenticación de múltiple factor.
  • No compartir datos sensibles en la medida de lo posible y mucho menos en plataformas no verificadas.
  • No abrir y/o responder a correos sospechosos y campañas de phishing, manteniéndose alertas en todo momento ante estos.

Protección de la privacidad vs Norma ISO 27701

En la actualidad casi todas las organizaciones procesan datos personales o también llamada en el mundo de la normas ISO, como “información de identificación personal”. Si a esta situación le agregamos que los tipos y la cantidad de datos personales que se están procesando, va en aumento, al igual que el número de situaciones en las que una organización necesita interactuar con otras, para el procesamiento de dicha información, el panorama se vuelve más complejo. En este contexto, la protección de la privacidad es una necesidad social y un derecho irrenunciable de las personas, así como un tema que cuenta con requisitos legales específicos a nivel mundial (ej. GDPR).

La norma ISO 27701 en su nueva edición del año 2025, puede y debería ser utilizada por las organizaciones que tratan o intervienen en el tratamiento de datos personales o información de identificación personal, demostrando con esto su compromiso con la protección de la privacidad, al cumplir con los requisitos necesarios para un Sistema de Gestión de Información de Privacidad. Con esto, una organización cualquiera puede generar evidencia de cómo gestiona el procesamiento de información de identificación personal, pudiendo utilizarla también para facilitar el cierre de acuerdos con socios comerciales o algunas otras partes interesadas, cuando la protección de la privacidad sea un aspecto de interés mutuo. El apego a los requisitos y controles propuestos por la norma ISO 27701, puede servir también para el cumplimiento de algunas otras normas ISO relacionadas (ej. ISO 29100), así como para el GDPR o Reglamento General de Protección de Datos por sus siglas en español.

Objetivos de control y controles de privacidad

Al implementar un Sistema de Gestión de Información de Privacidad con base en la norma ISO 27701, la organización deberá definir y aplicar un proceso para el Tratamiento de los Riesgos de Privacidad, relacionados con el tratamiento de información de identificación personal, básicamente mediante lo siguiente: 

  1. La selección de las opciones de tratamiento adecuadas para los riesgos de privacidad identificados, considerando los resultados del proceso de Valoración de Riesgos de Privacidad.
  2. La determinación de todos los controles que sean necesarios para implementar las opciones de tratamiento seleccionadas, entre otros aspectos.

Este último punto se podrá cubrir mediante la determinación de los objetivos de control y los controles de privacidad contenidos en el Anexo “A” de la norma ISO 27701, así como de cualquier otra fuente de información especializada y relacionada.

Ahora bien, retomando algunas de las amenazas persistentes al derecho a la privacidad, pensemos por un momento en alguno de los escenarios siguientes: ¿qué se debería hacer o cómo se debería responder, cuando ocurre una filtración masiva de datos que incluye datos biométricos o cuando se sufre el robo de identidad? La respuesta puede tener muchas aristas dependiendo de quién conteste la pregunta, pudiendo ir desde la aplicación de un plan de continuidad y recuperación detonando el plan de respuesta a incidentes, hasta la activación de protocolos de comunicación e informes a las partes interesadas.

De acuerdo con los controles de privacidad de la ISO 27701 Anexo “A”, el objetivo de control para: “Garantizar la seguridad del procesamiento de información de identificación personal”, establece en su control: A.3.12. Respuesta ante incidentes de seguridad de la información, que las organizaciones deberán responder ante los incidentes de seguridad de la información, relacionados con el procesamiento de información de identificación personal, de conformidad con los procedimientos documentados para tal fin (ref. al control A.3.11. Planeación y preparación para la gestión de incidentes de seguridad de la información).

Lo anterior nos muestra que se han identificado y definido ya, una serie de controles de privacidad para la implementación de medidas o acciones aplicables a diversos riesgos de privacidad, de acuerdo con los resultados de una gestión de riesgos especializada y sin necesidad de estar adivinando o improvisando (¿privacidad por tanteo?).

Reflexión final

En conclusión, la necesidad social de que las organizaciones pero también los individuos, protejan o aprendan a proteger su derecho a la privacidad, es hoy un tema obligatorio al menos para el 75% de la población mundial. Sin embargo, también es un hecho que la privacidad dentro del ciberespacio, ¡está en un punto crítico!, pues aunque hay más regulaciones también hay más amenazas. La clave para ofrecer una mejor protección de la privacidad y seguridad de la información, está en desarrollar y combinar políticas públicas, estándares internacionales (ej. ISO 27701 y 27001), inversión en ciberseguridad y sobretodo, en adoptar “hábitos” responsables en el manejo y uso de información de identificación personal o datos personales.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el Sistema de Gestión de Información de Privacidad de tu organización, ¡escríbenos, será un gusto platicar contigo y poder ayudarte!

Referencias y/o consultas

1. International Standard ISO/IEC 27701:2025. Information security, Cybersecurity and Privacy protection - Privacy Information Management Systems - Requirements and guidance. 2nd Edition, 10-2025.

2. Portal de ISO Standards: https://www.iso.org

3. Portal de Kiteworks: https://www.kiteworks.com/es/gestion-de-riesgos-de-ciberseguridad/pronostico-tendencias-seguridad-datos-y-cumplimiento-en-2025/

4. Portal del Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México: https://infocdmx.org.mx/index.php/protege-tus-datos-personales/estad%C3%ADsticas.html

Information icon

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.