Nosotros rompimos la regla: en Dastra, incluso los zapateros tienen los mejores zapatos.
La privacidad y la seguridad de los datos siempre han estado en el centro de nuestra misión. Nos enorgullece anunciar que Dastra ahora está certificada con la norma ISO 27701, un estándar internacional que atestigua nuestro cumplimiento con las mejores prácticas en gestión de protección de datos.
Como plataforma especializada en la gestión del cumplimiento del GDPR, nos encontramos siendo clientes de nuestra propia herramienta. ¡Descubre cómo cumplimos lo que predicamos!
🔒 ¿Qué es la ISO 27701?
El estándar fue desarrollado con la participación de autoridades globales, incluyendo la CNIL (la autoridad de protección de datos de Francia), AFNOR y el Comité Europeo de Protección de Datos. Su objetivo: alinear los requisitos de privacidad de datos en múltiples marcos regulatorios — no solo el GDPR de la UE, sino también la Ley de Privacidad del Consumidor de California (CCPA) y las leyes de privacidad canadienses.
Como un estándar de relevancia global, la ISO 27701 representa el estado del arte en gestión de privacidad. Para más información, consulta la explicación de la CNIL aquí.
Obtener la certificación ISO 27701 significa que Dastra ha logrado:
Un Sistema de Gestión de Información de Privacidad (PIMS) que cumple con estándares estrictos para la gobernanza de datos y confidencialidad.
Controles adaptados al procesamiento de datos personales, adaptados a nuestro papel — más a menudo como procesador de datos.
📍 ¿Por qué buscar la certificación ISO 27701?
Aunque Dastra ya ofrece una sólida plataforma de cumplimiento del GDPR, nuestro equipo decidió ir más allá.
Esta certificación fue un paso voluntario y proactivo, demostrando nuestra alineación con los estándares internacionales más exigentes en protección de la privacidad — un verdadero marcador de madurez organizacional y rigor operativo.
En la práctica, la certificación trae:
Mayor seguridad y transparencia de datos
Cumplimiento reforzado con el GDPR y otras regulaciones globales
Gobernanza clara y controles internos robustos
Una cultura de mejora continua en procesos de privacidad y seguridad
Esto significa que nuestros clientes pueden confiar en un socio certificado para ayudar a gestionar y proteger sus propios datos.
🧭 Asistencia: ¿deberías buscar ayuda?
La respuesta depende del tamaño, madurez y conocimiento interno de tu organización sobre los requisitos de ISO — particularmente en gestión de auditorías.
| Criterios | Servicio (Experto Humano) |
SaaS (Software) |
Híbrido (SaaS + Servicio) |
|---|---|---|---|
| Transparencia de Estrategia | 👍 Promedio a bueno, dependiendo del proveedor | ⚠️ Bajo: lógica de 'caja negra' del software | ✅ Total: enfoque claro, explicado y personalizado |
| Gestión de Evidencias | 👍 Promedio, dependiendo del proveedor | ⚠️ Limitada: depende de las reglas del software | ✅ Fuerte: selección manual y contextualizada |
| Ahorro de Tiempo | 👍 Significativo para auditorías, menos para recolección de datos | ✅ Muy fuerte para recolección de datos | ✅ Balanceado: rápido pero supervisado |
| Calidad de Certificación | ✅ Alta | ⚠️ Varía - depende de la configuración del usuario | ✅ Alta (supervisión humana con alineación de auditoría) |
| Costo | ❗️ Más alto | ✅ Asequible | 💸 Intermedio |
| Nivel de autonomía requerida | 👍 Bajo: todo está guiado | ❗️ Alto: depende del usuario | 👍 Moderado: asistencia disponible |
| Adecuado para PYME sin recursos dedicados? | ✅ Sí | ⚠️ Arriesgado si el equipo no está capacitado | ✅ Sí, con apoyo |
Hemos optado por el enfoque híbrido, en colaboración con nuestro socio Bastion, lo que simplificó enormemente el proceso.
Este tipo de asistencia, aunque no es obligatoria, resulta ser especialmente estratégica—especialmente en ausencia de experiencia interna en ISO—por varias razones clave, como se indica a continuación:
Pasos clave en nuestro viaje hacia la certificación
🧩 Paso 1: Preparación y Gobernanza
El proyecto comenzó hace dos años, apuntando a certificaciones tanto de ISO 27001 como de ISO 27701. Desde el principio, establecimos un comité de dirección y nombramos a una persona responsable de reunir y validar evidencia.
Un factor clave del éxito: gobernanza interfuncional. Reuniones regulares reunieron liderazgo, nuestro DPO y equipos estratégicos — haciendo del cumplimiento un compromiso en toda la empresa, no solo un problema legal o técnico.
Luego evaluamos nuestros sistemas existentes y identificamos lo que ya estaba en su lugar (gracias a las propias herramientas de Dastra: registros, mapas de datos, políticas), y lo que faltaba — especialmente un sistema de evidencia centralizado y listo para auditoría.
Esto significó:
Identificar lo que ya existía y definir el alcance
Rellenar los vacíos y analizar las discrepancias
Estructurar todo en un sistema a prueba de auditoría
🧩 Paso 2: Construyendo el PIMS (Sistema de Gestión de Información de Privacidad)
Para cumplir con los requisitos de la ISO 27701, fortalecimos nuestras políticas y procedimientos relacionados con datos personales, incluyendo:
Mapeo de todas las actividades de procesamiento de datos personales
Estructuración de políticas de privacidad y derechos de los interesados
Implementación de medidas técnicas y organizativas apropiadas para asegurar la confidencialidad
💡 Un principio clave de las auditorías ISO: lo que no está documentado no existe. No es suficiente con implementar buenas prácticas — debes demostrarlo de manera clara y consistente.
Ejemplos:
Un escaneo de seguridad por sí solo no es suficiente. Debes mostrar la acción resultante (p. ej., parche aplicado, validado, desplegado), con capturas de pantalla o registros de auditoría.
En Dastra, la eliminación automática de datos estaba técnicamente implementada — pero la ausencia de una política formalmente documentada se observó como un área de mejora.
Políticas esenciales para el PIMS:
Política de Privacidad: Define cómo se recopilan, utilizan, almacenan y protegen los datos personales.
Política de Retención de Datos: Especifica la duración de la retención de datos según su tipo y propósito.
Política de Eliminación de Datos: Describe métodos seguros para la eliminación o destrucción de datos y documentos.
Política de Clasificación de Datos: Clasifica los datos según su sensibilidad para adaptar los niveles de protección.
Política de Cifrado: Define reglas para el cifrado de datos en almacenamiento y transmisión.
Plan de Comunicación en caso de cambios de subcontratista: Enmarca la notificación a clientes y socios en caso de cambios de subcontratista.
Términos de Servicio y Ventas: Establece las condiciones contractuales entre la empresa y sus usuarios o clientes.
Sistema de Gestión de Seguridad de la Información (ISMS): Asegura que todas las políticas estén formalizadas, implementadas, actualizadas y auditadas regularmente.
🧩 Paso 3: Auditoría Interna, etapa de pre-validación
Antes de la auditoría oficial, Dastra realizó una auditoría interna con nuestro socio Bastion. Esto nos permitió:
- Verificar que todos los requisitos de ISO 27001 + 27701 se cubrieran efectivamente.
- Identificar cualquier no conformidad o prueba faltante.
- Abordar rápidamente los problemas pendientes.
Esta prueba fue crítica — nos dio la oportunidad de corregir puntos débiles sin presión.
🧩 Paso 4: Revisión de Gestión
El proceso concluyó con una revisión de gestión que involucró a todas las partes interesadas—gestión, encargado de cumplimiento, equipos técnicos y de producto. Esta reunión final nos permitió:
- Validar colectivamente todas las pruebas restantes.
- Confirmar oficialmente que se habían cumplido los objetivos de cumplimiento.
- Demostrar una gobernanza fuerte e informada al auditor.
🧩 Paso 5: Auditoría de Certificación por un Organismo Acreditado
Un auditor independiente evaluó luego nuestros sistemas y confirmó nuestro cumplimiento con la ISO 27701.
Gracias a los esfuerzos de nuestro equipo y al compromiso continuo con la seguridad de los datos, Dastra obtuvo con éxito la certificación.
Nuestro equipo reconoce: el viaje fue largo pero transformador. Incluso para una empresa especializada en cumplimiento, tuvimos que estructurar, probar y formalizar nuestras prácticas.
La tecnología por sí sola no es suficiente para obtener una certificación — es la alineación entre herramientas, prácticas y gobernanza lo que la hace posible.
🗃️ Cómo Dastra ayudó a simplificar la gestión de pruebas
Como habrás adivinado, nuestra propia plataforma desempeñó un papel clave a lo largo del proceso de certificación.
Dastra realizó la mitad del trabajo al centralizar una cantidad significativa de la información requerida: registros, mapas de datos, políticas y exportaciones de documentación — todo en un solo lugar.
Esencialmente nos convertimos en nuestro propio cliente — y la herramienta se volvió esencial para cumplir con los complejos requisitos de ISO.
Paso 1: Mantener un Mapeo de Datos actualizado
- Enumerar los datos personales utilizados en toda la empresa
- Mapear los sistemas y activos que procesan esos datos
- Vincular cada activo con sus respectivos subprocesadores
- Documentar la ubicación de esos subcontratistas
- Recoger su documentación de seguridad, SLA y políticas de privacidad a través del módulo Contratos
Paso 2: Mantener un Registro de actividades de procesamiento actualizado
- Documentar las actividades de procesamiento de datos de la empresa
- Realizar automáticamente una DPIA (Evaluación de Impacto en la Protección de Datos) para tus actividades de procesamiento de alto riesgo desde el módulo Cuestionario (plantilla PIA)
- Generar automáticamente tus DPAs (Acuerdos de Procesamiento de Datos)
Paso 3: Exportar un Informe Personalizado
- Solo necesitas exportar el informe de 'Proveedores y conjuntos de datos' para tener tus subcontratistas, sus ubicaciones y los conjuntos de datos a los que tienen acceso
Paso 4: Recoger Consentimientos de Cookies
- Crear y publicar tu política de cookies
- Desplegar un widget de consentimiento en tu sitio web
Paso 5: Gestionar Solicitudes de Derechos de los Sujetos de Datos
- ¡Configura tu Centro de Privacidad Dastra!
✅ Lo que aprendimos de este viaje
- La certificación refuerza una cultura de evidencia, incluso para expertos en cumplimiento.
- Te obliga a formalizar lo que a menudo es implícito, especialmente en políticas de seguridad y privacidad.
- Une a los equipos en torno a un objetivo común, con claras responsabilidades y rendición de cuentas.
- Refleja un compromiso real y medible con la privacidad y la protección de datos.
🎯 En resumen:
ISO 27701 es más que una etiqueta.
Es un compromiso estratégico que nos ha empujado — como proveedor de plataformas de cumplimiento — a mantener los más altos estándares de seguridad y privacidad.
Y nuestros clientes ahora pueden contar con un socio certificado y comprobado para ayudarles a gestionar y proteger sus propios datos con confianza.
¿Te gustaría asistencia con tu proceso de ISO 27701?
Dastra ofrece una plataforma para ayudar a centralizar tus pruebas, estructurar tus políticas y documentar tus prácticas — construida por un equipo que ha pasado por todo esto.