¿Cómo está estructurado el Anexo A en la norma ISO 27701:2025?
El Anexo A es normativo, lo que significa que sus controles son requisitos (no una guía opcional). Está organizado en tres tablas según el rol de la organización en el procesamiento de información de identificación personal (IIP):
| Tabla | Se aplica a | Controla | Áreas de enfoque |
|---|---|---|---|
| Cuadro A.1 | Controladores de PII | 31 | Base legal, consentimiento, derechos del titular de la información personal identificable, privacidad desde el diseño, transferencias de datos |
| Cuadro A.2 | Procesadores de información personal identificable | 18 | Acuerdos con clientes, fines de procesamiento, gestión de subcontratistas, divulgaciones |
| Cuadro A.3 | Tanto controladores como procesadores | 29 | Políticas de seguridad de la información, control de acceso, gestión de incidentes, criptografía, seguridad del desarrollo |
Cada control del Anexo A tiene una guía de implementación correspondiente en el Anexo B (por ejemplo, guía para el control) A.1.2.2 Identificar y documentar el propósito se encuentra en B.1.2.2). Las organizaciones deben incluir todos los controles aplicables en su declaración de aplicabilidad, con justificación para cualquier exclusión [Cláusula 6.1.3 e)].
¿Qué abarca la Tabla A.1? (Controles del controlador PII)
Cuadro A.1 contiene 31 controles Agrupados en cuatro objetivos. Estos se aplican a cualquier organización que determine los fines y los medios del tratamiento de datos personales.
Condiciones para la recogida y el tratamiento (A.1.2)
Objetivo: Demostrar que el tratamiento de datos es lícito, cuenta con una base jurídica según las jurisdicciones aplicables y tiene fines legítimos y claramente definidos.
| Control | Título |
|---|---|
| A.1.2.2 Identificar y documentar el propósito | Identificar y documentar el propósito |
| A.1.2.3 Identificar la base legal | Identificar la base legal |
| A.1.2.4 Determinar el consentimiento | Determinar cuándo y cómo se debe obtener el consentimiento. |
| A.1.2.5 Obtener y registrar el consentimiento | Obtener y registrar el consentimiento |
| A.1.2.6 Evaluación del impacto en la privacidad | Evaluación del impacto en la privacidad |
| A.1.2.7 Contratos con procesadores de información personal identificable | Contratos con procesadores de información personal identificable (PII) |
| A.1.2.8 Controlador conjunto de información personal identificable | Controlador conjunto de información personal identificable |
| A.1.2.9 Registros del procesamiento de información personal identificable | Registros relacionados con el procesamiento de información de identificación personal (PII) |
Obligaciones con los directivos de PII (A.1.3)
Objetivo: Garantizar que los titulares de datos personales reciban la información adecuada sobre el tratamiento de sus datos personales y que cumplan con cualquier otra obligación aplicable.
| Control | Título |
|---|---|
| A.1.3.2 Obligaciones con los directivos de PII | Determinación y cumplimiento de las obligaciones con los directivos de PII |
| A.1.3.3 Información para los responsables de PII | Determinación de la información para los titulares de información personal identificable (PII) |
| A.1.3.4 Suministro de información | Proporcionar información a los responsables de PII |
| A.1.3.5 Modificar o retirar el consentimiento | Proporcionar un mecanismo para modificar o retirar el consentimiento. |
| A.1.3.6 Oponerse al procesamiento de información personal identificable | Proporcionar un mecanismo para oponerse al procesamiento de información de identificación personal. |
| A.1.3.7 Acceso, corrección o supresión | Acceso, corrección o supresión |
| A.1.3.8 Informar a terceros | Obligaciones de los responsables del tratamiento de datos personales de informar a terceros |
| A.1.3.9 Proporcionar copia de la información personal identificable | Proporcionar una copia de la información personal procesada |
| A.1.3.10 Gestión de solicitudes | Gestión de solicitudes |
| A.1.3.11 Toma de decisiones automatizada | Toma de decisiones automatizada |
Privacidad desde el diseño y privacidad por defecto (A.1.4)
Objetivo: Garantizar que los procesos y sistemas estén diseñados de manera que la recopilación y el procesamiento de información de identificación personal se limiten a lo necesario para el propósito identificado.
| Control | Título |
|---|---|
| A.1.4.2 Limitar la recopilación | Limitar colección |
| A.1.4.3 Limitar el procesamiento | Limitar el procesamiento |
| A.1.4.4 Precisión y calidad | Precisión y calidad |
| A.1.4.5 Minimización de la información de identificación personal | Objetivos de minimización de la información de identificación personal |
| A.1.4.6 Desidentificación y eliminación | Desidentificación y eliminación de la información de identificación personal al final del procesamiento. |
| A.1.4.7 Archivos temporales | Archivos temporales |
| A.1.4.8 Retención | Retención |
| A.1.4.9 Eliminación | Disposición |
| A.1.4.10 Controles de transmisión PII | Controles de transmisión PII |
Compartir, transferir y divulgar información personal identificable (A.1.5)
Objetivo: Determinar si la información de identificación personal (PII) se comparte, transfiere o divulga de conformidad con las obligaciones aplicables, y documentar cuándo ocurre dicho intercambio.
| Control | Título |
|---|---|
| A.1.5.2 Base para la transferencia de información personal identificable | Identificar la base para la transferencia de información personal identificable entre jurisdicciones. |
| A.1.5.3 Países para la transferencia de información personal identificable | Países y organizaciones internacionales a los que se puede transferir la información de identificación personal. |
| A.1.5.4 Transferencia de registros de información personal identificable | Registros de transferencia de información personal identificable |
| A.1.5.5 Registros de divulgaciones de información personal identificable | Registros de divulgaciones de información personal identificable a terceros |
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué abarca la Tabla A.2? (Controles del procesador PII)
Cuadro A.2 contiene 18 controles Agrupados en cuatro objetivos. Estos se aplican a cualquier organización que procese información de identificación personal (PII) en nombre de un responsable del tratamiento de PII.
Condiciones para la recogida y el tratamiento (A.2.2)
| Control | Título |
|---|---|
| A.2.2.2 Acuerdo con el Cliente | Acuerdo con el cliente |
| A.2.2.3 Fines de la organización | Propósitos de la organización |
| A.2.2.4 Marketing y publicidad | Uso en marketing y publicidad |
| A.2.2.5 Instrucción infractora | Instrucción infractora |
| A.2.2.6 Obligaciones del cliente | Obligaciones del cliente |
| A.2.2.7 Registros del procesamiento de información personal identificable | Registros relacionados con el procesamiento de información de identificación personal (PII) |
Obligaciones con los directivos de PII (A.2.3)
| Control | Título |
|---|---|
| A.2.3.2 Obligaciones con los directivos de PII | Cumplir con las obligaciones contraídas con los responsables de PII. |
Privacidad desde el diseño y privacidad por defecto (A.2.4)
| Control | Título |
|---|---|
| A.2.4.2 Archivos temporales | Archivos temporales |
| A.2.4.3 Devolución, transferencia o eliminación | Devolución, transferencia o eliminación de información personal identificable |
| A.2.4.4 Controles de transmisión PII | Controles de transmisión PII |
Compartir, transferir y divulgar información personal identificable (A.2.5)
| Control | Título |
|---|---|
| A.2.5.2 Base para la transferencia de información personal identificable | Base para la transferencia de información personal identificable entre jurisdicciones |
| A.2.5.3 Países para la transferencia de información personal identificable | Países y organizaciones internacionales a los que se puede transferir la información de identificación personal. |
| A.2.5.4 Registros de divulgaciones de información personal identificable | Registros de divulgaciones de información personal identificable a terceros |
| A.2.5.5 Solicitudes de divulgación de información personal identificable | Notificación de solicitudes de divulgación de información personal identificable |
| A.2.5.6 Divulgaciones legalmente vinculantes | Divulgaciones de información personal identificable legalmente vinculantes |
| A.2.5.7 Revelación de subcontratistas | Divulgación de los subcontratistas utilizados para procesar información de identificación personal. |
| A.2.5.8 Contratación de subcontratistas | Contratación de un subcontratista para procesar información de identificación personal (PII). |
| A.2.5.9 Cambio de subcontratista | Cambio de subcontratista para procesar información personal identificable (PII). |
¿Qué abarca la Tabla A.3? (Controles de seguridad compartidos)
Cuadro A.3 contiene 29 controles que se aplican tanto a los responsables del tratamiento de datos personales como a los encargados del tratamiento de dichos datos. Se trata de controles de seguridad de la información con requisitos específicos para el tratamiento de datos personales.
| Control | Título |
|---|---|
| A.3.3 Políticas de seguridad de la información | Políticas de seguridad de la información. |
| A.3.4 Roles de seguridad | Funciones y responsabilidades de seguridad de la información |
| A.3.5 Clasificación de la información | Clasificación de la información |
| A.3.6 Etiquetado de la información | Etiquetado de información |
| A.3.7 Transferencia de información | Transferencia de información |
| A.3.8 Gestión de identidades | Gestión de identidad |
| A.3.9 Derechos de acceso | Derechos de acceso |
| A.3.10 Acuerdos con proveedores | Abordar la seguridad de la información en los acuerdos con proveedores |
| A.3.11 Gestión de incidentes | Planificación y preparación de la gestión de incidentes de seguridad de la información. |
| A.3.12 Respuesta ante incidentes de seguridad | Respuesta a incidentes de seguridad de la información |
| A.3.13 Requisitos legales y reglamentarios | Requisitos legales, estatutarios, reglamentarios y contractuales |
| A.3.14 Protección de registros | Protección de registros |
| A.3.15 Revisión independiente | Revisión independiente de la seguridad de la información. |
| A.3.16 Cumplimiento de las políticas | Cumplimiento de políticas, reglas y estándares de seguridad de la información |
| A.3.17 Concienciación y formación en seguridad | Concientización, educación y capacitación sobre seguridad de la información. |
| A.3.18 Acuerdos de confidencialidad | Acuerdos de confidencialidad o no divulgación |
| A.3.19 Escritorio despejado y pantalla despejada | Escritorio claro y pantalla clara |
| A.3.20 Medios de almacenamiento | Medios de almacenamiento |
| A.3.21 Eliminación segura de equipos | Eliminación segura o reutilización del equipo |
| A.3.22 Dispositivos de punto final del usuario | Dispositivos terminales de usuario |
| A.3.23 Autenticación segura | Autenticación segura |
| A.3.24 Copia de seguridad de la información | Copia de seguridad de la información |
| A.3.25 Registro de actividad | Inicio de sesión |
| A.3.26 Uso de criptografía | Uso de criptografía |
| A.3.27 Ciclo de vida de desarrollo seguro | Ciclo de vida de desarrollo seguro |
| A.3.28 Seguridad de las aplicaciones | Requisitos de seguridad de la aplicación |
| A.3.29 Arquitectura de sistema seguro | Principios de ingeniería y arquitectura de sistemas seguros |
| A.3.30 Desarrollo subcontratado | Desarrollo subcontratado |
| A.3.31 Información de prueba | Información de prueba |
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cómo funcionan conjuntamente el Anexo A y el Anexo B?
El Anexo A define la objetivos de control y declaraciones de control (el “qué”). El Anexo B proporciona guía de implementación (el “cómo”). Cada control del Anexo A tiene una cláusula del Anexo B correspondiente con la misma numeración:
- Control A.1.2.2 Identificar y documentar el propósito (Identificar y documentar el propósito) → Guía en Nacido en 1.2.2
- Control A.2.2.2 Acuerdo con el Cliente (Acuerdo con el cliente) → Guía en Nacido en 2.2.2
- Control A.3.3 Políticas de seguridad de la información (Políticas de seguridad de la información) → Guía en Nacido en 3.3
Al implementar un control, lea conjuntamente tanto el requisito del Anexo A como la guía del Anexo B. El Anexo B se clasifica como normativo, aunque utiliza el pronombre «debería» en lugar de «deberá», pero los auditores esperarán que su implementación sea coherente con su intención.
¿Qué relación guarda el Anexo A con los demás anexos?
La norma incluye cuatro anexos de mapeo adicionales que conectan los controles del Anexo A con marcos externos:
- anexo C — Asigna controles a los 11 principios de privacidad de la norma ISO/IEC 29100.
- Anexo D - Asigna controles a los artículos del RGPD (Artículos 5–35 y 44–49)
- Anexo E — Asigna controles a ISO/IEC 27018 (procesadores en la nube) e ISO/IEC 29151 (protección de información de identificación personal).
- Anexo f - Asigna los controles de 2025 a sus equivalentes en la norma ISO 27701:2019.
Estas correspondencias son informativas (no normativas), pero resultan invaluables para las organizaciones que necesitan demostrar el cumplimiento de múltiples marcos normativos simultáneamente.
¿Por qué elegir SGSI.online ¿Para el Anexo A de la norma ISO 27701:2025?
SGSI.online Le ofrece una forma estructurada y auditable de implementar cada control del Anexo A:
Compare cómo las plataformas líderes respaldan la implementación del Anexo A en nuestra Comparativa de software de cumplimiento normativo.
- Conjuntos de control preconfigurados — Los 78 controles están mapeados y listos para su declaración de aplicabilidad.
- Vinculación de evidencias — Adjunte las políticas, las evaluaciones de riesgos, los resultados de las auditorías y los registros directamente a cada control.
- Vistas basadas en roles — Filtra los controles según tu rol (controlador, procesador o ambos) para que solo veas lo que te corresponde.
- Seguimiento de brechas — Marque cada control como implementado, parcialmente implementado o no aplicable, con su correspondiente justificación.
- Mapeo entre marcos — Vea cómo se asigna cada control a GDPR, ISO 27001 y otros marcos que usted opera
- Exportaciones listas para auditoría — Genere su declaración de aplicabilidad y los paquetes de evidencia para los auditores externos.
Preguntas Frecuentes
¿Necesito implementar los 78 controles del Anexo A?
No necesariamente. Debe incluir todos los controles que sean aplicables a su función (responsable del tratamiento, encargado del tratamiento o ambos) en su declaración de aplicabilidad. Cualquier exclusión debe estar justificada. Los controles pueden excluirse cuando su evaluación de riesgos no los considere necesarios o cuando no sean exigidos por la legislación aplicable.
¿Cuál es la diferencia entre el Anexo A y el Anexo B?
El Anexo A contiene los objetivos y las declaraciones de control (los requisitos). El Anexo B proporciona orientación para la implementación de cada control. El Anexo A es normativo (obligatorio); la guía del Anexo B también es normativa y utiliza el término «debería» para ofrecer recomendaciones de implementación que los auditores esperan que se tengan en cuenta.
¿Cómo sé qué tabla se aplica a mi organización?
Si usted determina los fines y los medios del procesamiento de PII, Cuadro A.1 (controladores) se aplica. Si procesa información personal identificable en nombre de otra organización, Cuadro A.2 (controles del procesador) se aplica. Cuadro A.3 (Controles compartidos) se aplica a ambos roles. Muchas organizaciones actúan como controladores y encargados del tratamiento de datos para diferentes actividades de procesamiento.
¿Cómo se corresponden los controles de la edición de 2025 con los de la edición de 2019?
El Anexo F proporciona una tabla de correspondencia completa en ambas direcciones. La Tabla F.1 relaciona los controles de 2025 con sus equivalentes de 2019. La Tabla F.2 relaciona los controles de 2019 con sus equivalentes de 2025. Consulte nuestra Guía de correspondencia del Anexo F para el mapeo completo.
Aprenda cómo documentar sus selecciones de control en nuestro Guía de declaración de aplicabilidad.
Cada control requiere evidencia que lo respalde; consulte nuestra requisitos de evidencia de auditoría Guía sobre lo que esperan los auditores.
