Diagnóstico de privacidad
Analizamos el inventario de tratamientos de datos personales de tu organización, identificamos brechas respecto a los requisitos de ISO 27701:2025 y la LOPDGDD, y priorizamos las acciones con mayor impacto en el RGPD.
La ISO 27701:2025 convierte tu cumplimiento del RGPD en un sistema auditable y certificable. Si tratas datos personales de clientes, empleados o proveedores, esta norma demuestra ante terceros que tu organización los gestiona con rigor.
La versión 2025 de ISO 27701 supone un cambio de calado: la norma deja de ser una extensión de ISO 27001 y se convierte en un estándar independiente con sus propias cláusulas de gestión y 78 controles orientados exclusivamente a la privacidad. Esto significa que tu empresa puede certificar un Sistema de Gestión de Información de Privacidad (PIMS) sin necesitar antes la certificación ISO 27001, aunque ambas normas son plenamente compatibles y complementarias. El plazo de transición para las organizaciones ya certificadas en la edición de 2019 se extiende hasta octubre de 2028.
En la práctica, ISO 27701 sistematiza todo lo que el RGPD y la LOPDGDD exigen pero no detallan cómo hacer: bases de legitimación documentadas, registros de actividades de tratamiento, evaluaciones de impacto (EIPD), gestión de brechas de seguridad, contratos con encargados de tratamiento y ejercicio de derechos de los interesados. El Anexo D de la norma establece una correspondencia artículo a artículo con el RGPD, de modo que superar una auditoría de tercera parte bajo ISO 27701 equivale a demostrar un nivel de madurez muy sólido frente a cualquier inspección de la Agencia Española de Protección de Datos (AEPD).
Summum Calidad acompaña a tu organización desde el diagnóstico de partida hasta la auditoría de certificación. No certificamos nosotros: la certificación la emite un organismo acreditado por ENAC (AENOR, Bureau Veritas, SGS u otros). Nuestro trabajo es que llegues a esa auditoría con el sistema implantado, documentado y probado. Con más de 200 certificaciones ISO acompañadas desde 2007 en Castilla y León y Canarias, sabemos qué busca el auditor y cómo evitar que los gaps de última hora retrasen el certificado.
Analizamos el inventario de tratamientos de datos personales de tu organización, identificamos brechas respecto a los requisitos de ISO 27701:2025 y la LOPDGDD, y priorizamos las acciones con mayor impacto en el RGPD.
Redactamos y adaptamos la política de privacidad corporativa, el registro de actividades de tratamiento, los procedimientos de respuesta a derechos y el protocolo de gestión de brechas. Diseñamos los 78 controles de la norma ajustados a tu realidad operativa.
Formamos a los responsables internos y al DPO (propio o externo) en el uso del sistema. Realizamos una auditoría interna completa que simula la auditoría de certificación y cerramos todas las no conformidades antes de la visita del organismo acreditado.
Coordinamos la auditoría con el organismo de certificación elegido y actuamos como punto de apoyo técnico durante las jornadas de auditoría. Una vez obtenido el certificado, te acompañamos en las auditorías de seguimiento anuales y en la renovación trienal.
El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.
Diagnóstico GAP ISO 27701:2025
Informe de situación inicial con brechas cuantificadas respecto a los requisitos de la norma y el RGPD, con hoja de ruta priorizada.
Registro de actividades de tratamiento
Elaboración o revisión del RAT completo (controlador y encargado) con base legal, plazos de conservación y transferencias internacionales documentadas.
Política y controles de privacidad
Política corporativa de privacidad, procedimientos de ejercicio de derechos ARSLOP, cláusulas informativas y contratos de encargo de tratamiento.
Evaluación de Impacto (EIPD)
Metodología y ejecución de EIPDs para tratamientos de alto riesgo: videovigilancia, perfilado, datos sensibles o tratamientos a gran escala.
Gestión de brechas y respuesta a incidentes
Protocolo de detección, notificación a la AEPD en 72 horas y comunicación a interesados, alineado con el artículo 33 y 34 del RGPD.
Auditoría interna y pre-auditoría
Auditoría interna documentada con informe de no conformidades y simulacro de auditoría de certificación antes de la visita del organismo acreditado.
La privacidad no vive aislada: se conecta con la seguridad de la información (ISO 27001 de Summum Calidad), con el rol del DPO externo y la gestión del gobierno del dato (Summum Consultoría) y con la implantación técnica de controles en infraestructura y sistemas (Summum Sistemas).
ISO 27001 es la base de seguridad de la información sobre la que ISO 27701 puede construirse; ambas normas comparten estructura y controles, y certificarlas de forma integrada reduce coste y esfuerzo auditor.
Ver servicio → consultoríaSi tu organización necesita un Delegado de Protección de Datos pero no tiene recursos internos, el servicio de DPO externo de Summum Consultoría cubre esa figura obligatoria mientras se implanta el PIMS.
Ver servicio → consultoríaEl gobierno del dato establece las políticas de calidad, ciclo de vida y propiedad de la información; un programa de gobierno maduro refuerza directamente los controles de privacidad del PIMS.
Ver servicio →No. La edición 2025 convierte ISO 27701 en un estándar independiente: puedes certificar el PIMS sin tener ISO 27001. Si ya tienes ISO 27001, la integración de ambas normas es natural y reduce la carga auditora, pero ya no es un requisito previo obligatorio.
ISO 27701 no es un mecanismo de certificación del RGPD en el sentido del artículo 42 de ese reglamento, pero demuestra un nivel de madurez muy elevado en la gestión de privacidad. El Anexo D de la norma relaciona explícitamente cada control con los artículos del RGPD, lo que facilita mucho la demostración ante la AEPD de que los tratamientos se realizan conforme a la normativa.
Para una pyme o mediana empresa que parte de cero, el proceso completo —diagnóstico, implantación del PIMS, auditoría interna y auditoría de certificación— suele situarse entre 5 y 8 meses. Si la organización ya tiene ISO 27001 o un programa de privacidad estructurado, el plazo puede ser menor.
El plazo oficial de transición es hasta octubre de 2028. No obstante, recomendamos planificar la migración con antelación suficiente para evitar urgencias en auditorías de renovación. La nueva versión refuerza los controles de IA y ecosistemas digitales, áreas de creciente relevancia para cualquier organización.
ISO 27701 no exige formalmente un DPO, pero el sistema de gestión de privacidad que define requiere una función de privacidad con responsabilidades claras. Si tu empresa está obligada por el RGPD a designar un DPO, este rol encaja directamente en la estructura del PIMS. Nuestro equipo puede orientarte sobre la obligatoriedad del DPO en tu caso concreto.