ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

ISO/IEC 27706: el auditor también debe ser auditado

ISO 27706 exige que las certificaciones de privacidad sean serias, técnicas y confiables. Define requisitos para los organismos que auditan y certifican ISO 27701.

ISOprotección de datoscompliancecertificacionesgobernanza

Certificaciones de privacidad bajo la lupa

La ISO/IEC 27706 pide requisitos a los organismos que auditan y certifican privacidad — no a las personas ni directamente a las empresas usuarias.

En concreto, exige que quien otorga la certificación ISO 27701 cumpla con estándares rigurosos de competencia, imparcialidad y proceso.

Qué pide esta norma

1. Competencia del organismo certificador

Auditores con formación demostrable en:

  • Protección de datos personales
  • Seguridad de la información
  • Auditoría de sistemas de gestión ISO

Además:

  • Experiencia práctica verificable en PIMS / ISO 27701
  • Capacitación continua y evaluación periódica de competencias

2. Imparcialidad e independencia

  • Prohibición de conflictos de interés
  • El certificador no puede auditar lo que él mismo diseñó o consultó
  • Estructuras formales para garantizar decisiones objetivas

3. Proceso de auditoría riguroso

  • Metodología clara y documentada para auditar ISO/IEC 27701
  • Planificación, ejecución, hallazgos, no conformidades y cierre estandarizados
  • Evidencia objetiva, trazable y reproducible

4. Gestión de no conformidades

Reglas claras para:

  • Clasificar hallazgos
  • Exigir correcciones
  • Verificar acciones correctivas

No se puede “aprobar” sin cierre efectivo de brechas críticas.

5. Toma de decisiones de certificación

  • La decisión final no puede recaer solo en el auditor
  • Debe existir un comité o función independiente que valide la certificación
  • Registro formal y auditable de la decisión

6. Confidencialidad y protección de la información

  • Protección estricta de los datos personales y sensibles revisados en auditoría
  • Controles para acceso, retención y destrucción de información

7. Transparencia y trazabilidad

  • Registros completos de auditorías
  • Capacidad de demostrar cómo y por qué se otorgó una certificación
  • Preparación para supervisión de acreditadores o reguladores

En simple

ISO/IEC 27706 exige que las certificaciones de privacidad sean serias, técnicas y confiables.

Ya no basta con “pasar una auditoría”: el auditor también debe ser auditado.

Beneficio final

Para quiénBeneficio
PersonasMás protección real de datos personales
IndustriaMenos certificaciones falsas
OrganizacionesMás confianza en empresas certificadas
ReguladoresMarco verificable para supervisión

La cadena de confianza en protección de datos se fortalece cuando cada eslabón — incluido el que otorga la certificación — está sujeto a estándares verificables.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·2 min de lectura
ISO/IEC 19896: cuando la ciberseguridad se centra en la competencia real
ISOcertificacionescompliance
·2 min de lectura
Registro de Actividades de Tratamiento (RAT): por qué y cómo hacerlo
protección de datosley 21.719compliance
·2 min de lectura
Acciones inmediatas para la Alta Dirección ante la Ley Marco de Ciberseguridad
ley 21.663ANCIcompliance

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo