Privacidad basada en evidencia: por qué ISO/IEC 27701 se vuelve estratégica para las organizaciones | Por Fabián Descalzo - BDO Argentina

 

La privacidad dejó de ser un asunto limitado a cláusulas legales, consentimientos y políticas publicadas en un sitio web. En organizaciones que dependen de datos para operar, vender, innovar o relacionarse con sus clientes, la privacidad se ha convertido en una capacidad de gestión crítica.

La expansión de la inteligencia artificial, los servicios cloud, la tercerización, las plataformas digitales y los modelos de negocio basados en datos multiplicó los puntos de tratamiento de información personal. También elevó las expectativas de clientes, socios comerciales, reguladores y directorios. Ya no alcanza con declarar compromiso: las organizaciones necesitan demostrar cómo gobiernan los datos personales bajo su responsabilidad.

En ese contexto, ISO/IEC 27701 ofrece un marco internacional para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Información de Privacidad, conocido como PIMS por sus siglas en inglés. Su propósito es ayudar a responsables y encargados del tratamiento a gestionar la información de identificación personal de forma estructurada, con roles definidos, evaluación de riesgos, controles y mecanismos de mejora continua.

La edición vigente, ISO/IEC 27701:2025, consolida al PIMS como un estándar de gestión independiente e integrable con otros sistemas, particularmente ISO/IEC 27001. Esto resulta especialmente relevante para las empresas que ya cuentan con un Sistema de Gestión de Seguridad de la Información y necesitan extenderlo hacia una gestión más madura de la privacidad.

La diferencia es significativa. La seguridad de la información busca proteger confidencialidad, integridad y disponibilidad. La privacidad agrega preguntas vinculadas al uso legítimo y responsable de los datos: qué información se recolecta, con qué finalidad, quién accede, cuánto tiempo se conserva, qué terceros participan y cómo se protegen los derechos de las personas.

Un PIMS eficaz permite traducir estas preguntas en prácticas verificables. Incluye la identificación de actores y responsabilidades; la definición de terminología y principios comunes; el mapeo de requisitos normativos; la evaluación y tratamiento de riesgos; la selección de controles; la gestión de proveedores; la capacitación de los equipos y la realización de auditorías.

Para la alta dirección, el valor no es exclusivamente regulatorio. Una gestión de privacidad madura fortalece la confianza, reduce la exposición a incidentes y facilita relaciones comerciales con organizaciones que exigen evidencia de cumplimiento. También permite tomar mejores decisiones cuando se incorporan nuevas tecnologías o se diseñan productos digitales que procesan información personal.

En Argentina, este enfoque debe contemplar la Ley 25.326 de Protección de los Datos Personales y su convergencia con estándares y exigencias internacionales, como el GDPR europeo. La privacidad no se resuelve copiando un marco normativo: requiere comprender el contexto, los riesgos y el modelo operativo propio de cada organización.

Con el objetivo de brindar herramientas para iniciar o fortalecer este camino, BDO Argentina realizará el taller virtual “Gestión de la Privacidad de la Información basada en ISO/IEC 27701”, los días 18, 19, 20 y 21 de agosto, de 14 a 16 hs (ARG).


La privacidad no debe ser una respuesta tardía ante un incidente. Debe ser una decisión de gobierno que acompañe la innovación desde su diseño.



Imágenes del tema de enot-poloskun. Con tecnología de Blogger.