ISO/IEC 27701 extensión PIMS del SGSI
27701 es el único estándar ISO dedicado a privacidad. Mapea 1:1 a las obligaciones del encargado en Ley 21.719 y GDPR. DPOLab cubre los controles Annex A (controller) y Annex B (processor) con evidencia auditable — y como bonus, apalanca los controles del SGSI base en 27001.
27001 asegura tu información. 27701 asegura tu privacidad.
ISO 27001 te pide que protejas información. ISO 27701 te pide que cumplas obligaciones hacia titulares de datos: propósito, base legal, consentimiento, derechos ARCO, transferencias, DPA con encargados. Es el mapping natural a Ley 21.719 y GDPR.
Annex A · Controller
Obligaciones del responsable: propósito, consentimiento, derechos del titular, privacy by design, transferencias. 31 controles específicos — DPOLab los cubre todos.
Annex B · Processor
Si eres encargado (SaaS, agencia, BPO): DPA, pass-through de solicitudes, notificación ante brecha, gestión de subencargados. Mapping directo a Art. 15 bis Ley 21.719.
27001 como fundación
27701 extiende 27001 — no lo reemplaza. DPOLab también apalanca controles del SGSI base (cifrado, incidentes, prevención de fuga) para que el auditor lo vea de una sola vez.
Controles cubiertos, agrupados por obligación legal
Legitimidad y transparencia
Propósito, base legal y deber de información — el núcleo del tratamiento lícito.
Identificar y documentar propósito
Cada actividad RAT documenta la finalidad específica, con trazabilidad desde la captura hasta la retención.
Identificar base legal
Catálogo de bases legales (consentimiento, ejecución contrato, interés legítimo, etc.) asignado por actividad; compliance check Art. 8.
Registros de tratamiento de PII
Inventario completo y versionado de actividades, con vínculo N:M a sistemas y flujos del Mapa de Datos.
Información a los titulares
Política de privacidad auto-generada con las 12 secciones del Art. 14 ter a partir del RAT y del CMP.
Consentimiento
Captura, registro inmutable y retirada del consentimiento con evidencia verificable.
Obtener y registrar consentimiento
Banner CMP con cadena de integridad, registro deduplicado en ventana de 5 min y hash chain determinístico.
Derechos del titular (ARCO+)
Los 7 derechos de la Ley 21.719: acceso, rectificación, cancelación, oposición, portabilidad, bloqueo, no sujeción a decisiones automatizadas.
Canal y manejo de solicitudes
Portal público con OTP, folio, deadline de 30 días calendario (Art. 11) y extensión única de 60 días.
Acceso, rectificación, supresión, portabilidad
Los 7 tipos de derecho implementados con flujo editable, timeline auditable y cifrado AES-256-GCM en reposo.
Privacy by design y minimización
Limitar desde el diseño qué, cuánto tiempo y con qué propósito se tratan los datos.
Evaluación de impacto a la privacidad (DPIA)
Screening automático por criterios del Art. 18 + catálogo de riesgos prepoblado + mitigaciones sugeridas por IA.
Minimización en captura y propósito
Scoring de riesgo por actividad + compliance check que valida categorías mínimas antes de pasar a ACTIVE.
Encargados y terceros
Contratos DPA, identificación de subencargados y obligaciones hacia receptores de datos.
Contratos con encargados
Generación, envío, firma electrónica y renovación de DPAs con lifecycle DRAFT → SIGNED → RENEWED y alertas de vencimiento.
Informar a terceros receptores
Mapa de Datos identifica qué sistemas son TRANSFER y qué flujos salen a terceros. Workflow notifica a receptores cuando hay rectificación o supresión.
Transferencias internacionales
Identificación de transferencias y mecanismo válido cuando los datos salen del país.
Base para transferencias y países
Sistemas con ubicación geográfica. Flag de transferencia internacional propaga a RAT y a DPIA cuando corresponde.
Registros de transferencia y divulgación
Cada flujo y contrato registra receptor, propósito y mecanismo. Exportable para fiscalización.
Para quien actúa como encargado
SaaS, agencias digitales, BPOs, integradores: si procesas datos por instrucción de un controller, Annex B es tu checklist. DPOLab entrega evidencia de cada control.
Acuerdo con el cliente (controller)
Para organizaciones que actúan como encargado: lifecycle de DPAs con evidencia firmada y versionada.
Obligaciones hacia titulares (pass-through)
Canal ARSOP configurable para derivar solicitudes al controller en el SLA pactado.
Gestión de subencargados
Contratos encadenados con subencargados + visibilidad en Mapa de Datos. Workflow de cambio de subencargado con notificación al controller.
27701 extiende 27001
27701 no vive solo. Requiere un SGSI base — normalmente un 27001 implementado. DPOLab también apalanca controles clave de Annex A en 27001:2022, para que el auditor vea evidencia consolidada en una sola plataforma.
Si ya certificaste 27001, agregar 27701 es alcance, no un nuevo sistema. Si todavía no, DPOLab te da evidencia para ambos al mismo tiempo.
DPOLab no es una certificadora. Este mapeo es una guía de correspondencia entre los módulos de la plataforma y los controles de ISO/IEC 27701:2019 (Annex A y B) e ISO/IEC 27001:2022 (Annex A relevante). La certificación requiere auditoría por un organismo acreditado.
Da el primer paso con DPOLab
Prueba la plataforma o agenda un diagnóstico de 30 minutos. Tú eliges cómo partir; nosotros nos adaptamos.