¿Cuáles son los controles del controlador de PII en la norma ISO 27701:2025?
Tabla A.1 de ISO 27701:2025 Anexo A Define 31 controles que se aplican a cualquier organización que actúe como responsable del tratamiento de datos personales. Un responsable del tratamiento de datos personales es una organización que determina los fines y los medios del tratamiento de la información de identificación personal.
Estos controles se agrupan en cuatro objetivos:
- Condiciones para la recogida y el tratamiento (A.1.2) — 8 controles que abarcan la base legal, el consentimiento, la evaluación del impacto en la privacidad, los contratos y los registros.
- Obligaciones con los directivos de PII (A.1.3) — 10 controles que abarcan la transparencia, los derechos de los interesados, las decisiones automatizadas y la gestión de solicitudes.
- Privacidad desde el diseño y privacidad por defecto (A.1.4) — 9 controles que abarcan la minimización, retención, eliminación y transmisión de datos.
- Compartir, transferir y divulgar información personal identificable (A.1.5) — 4 controles que abarcan las transferencias transfronterizas y los registros de divulgación
Cada control tiene una guía de implementación correspondiente en el Anexo B (sección B.1). Por ejemplo, la guía para el control A.1.2.2 Identificar y documentar el propósito Se encuentra en B.1.2.2.
Condiciones para la recogida y el tratamiento (A.1.2)
Objetivo: Demostrar que el tratamiento de datos es lícito, cuenta con una base jurídica según las jurisdicciones aplicables y tiene fines legítimos y claramente definidos.
| Control | Título | Resumen |
|---|---|---|
| A.1.2.2 Identificar y documentar el propósito | Identificar y documentar el propósito | Identificar y documentar los fines específicos para los que se procesará la información de identificación personal. |
| A.1.2.3 Identificar la base legal | Identificar la base legal | Determinar, documentar y demostrar el cumplimiento de la base legal pertinente. |
| A.1.2.4 Determinar el consentimiento | Determinar cuándo y cómo se debe obtener el consentimiento. | Documentar un proceso para demostrar si, cuándo y cómo se obtuvo el consentimiento. |
| A.1.2.5 Obtener y registrar el consentimiento | Obtener y registrar el consentimiento | Obtener y registrar el consentimiento de los titulares de información personal identificable de acuerdo con los procesos documentados. |
| A.1.2.6 Evaluación del impacto en la privacidad | Evaluación del impacto en la privacidad | Evaluar la necesidad de realizar evaluaciones de impacto en la privacidad para los nuevos tratamientos de datos o los que hayan sufrido modificaciones, e implementarlas. |
| A.1.2.7 Contratos con procesadores de información personal identificable | Contratos con procesadores de información personal identificable (PII) | Asegúrese de que los contratos escritos con los procesadores de PII aborden adecuadamente anexo A controles |
| A.1.2.8 Controlador conjunto de información personal identificable | Controlador conjunto de información personal identificable | Determinar las funciones y responsabilidades con cualquier responsable conjunto del control de información personal identificable |
| A.1.2.9 Registros del procesamiento de información personal identificable | Registros relacionados con el procesamiento de información de identificación personal (PII) | Determinar y mantener de forma segura los registros que respalden las obligaciones de procesamiento de información de identificación personal. |
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
Obligaciones con los directivos de PII (A.1.3)
Objetivo: Garantizar que los titulares de datos personales reciban la información adecuada sobre el tratamiento de sus datos personales y que cumplan con cualquier otra obligación aplicable.
| Control | Título | Resumen |
|---|---|---|
| A.1.3.2 Obligaciones con los directivos de PII | Determinación y cumplimiento de las obligaciones con los directivos de PII | Determinar y documentar las obligaciones legales, regulatorias y comerciales con los directivos de PII. |
| A.1.3.3 Información para los responsables de PII | Determinación de la información para los titulares de información personal identificable (PII) | Determinar y documentar qué información proporcionar a los responsables de PII y cuándo. |
| A.1.3.4 Suministro de información | Proporcionar información a los responsables de PII | Proporcione información clara y accesible que identifique al responsable del tratamiento y describa el procesamiento. |
| A.1.3.5 Modificar o retirar el consentimiento | Proporcionar un mecanismo para modificar o retirar el consentimiento. | Proporcionar un mecanismo para que los titulares de información personal puedan modificar o retirar su consentimiento. |
| A.1.3.6 Oponerse al procesamiento de información personal identificable | Proporcionar un mecanismo para oponerse al procesamiento de información de identificación personal. | Proporcionar un mecanismo para que los titulares de información personal puedan oponerse al procesamiento. |
| A.1.3.7 Acceso, corrección o supresión | Acceso, corrección o supresión | Implementar políticas y mecanismos para cumplir con las obligaciones de acceso, corrección o eliminación. |
| A.1.3.8 Informar a terceros | Obligaciones de los responsables del tratamiento de datos personales de informar a terceros | Informar a terceros sobre modificaciones, retiros u objeciones a la información personal identificable compartida. |
| A.1.3.9 Proporcionar copia de la información personal identificable | Proporcionar una copia de la información personal procesada | Proporcionar una copia de la información personal identificable (PII) procesada cuando lo solicite el titular de dicha información. |
| A.1.3.10 Gestión de solicitudes | Gestión de solicitudes | Definir y documentar políticas para gestionar las solicitudes legítimas de los titulares de información personal identificable (PII). |
| A.1.3.11 Toma de decisiones automatizada | Toma de decisiones automatizada | Identificar las obligaciones derivadas de decisiones basadas únicamente en el procesamiento automatizado de información personal identificable (PII). |
Privacidad desde el diseño y privacidad por defecto (A.1.4)
Objetivo: Garantizar que los procesos y sistemas estén diseñados de manera que la recopilación y el procesamiento de información de identificación personal se limiten a lo necesario para el propósito identificado.
| Control | Título | Resumen |
|---|---|---|
| A.1.4.2 Limitar la recopilación | Limitar colección | Limitar la recopilación de información personal identificable al mínimo que sea relevante, proporcional y necesario. |
| A.1.4.3 Limitar el procesamiento | Limitar el procesamiento | Limitar el procesamiento a lo que sea adecuado, pertinente y necesario para los fines identificados. |
| A.1.4.4 Precisión y calidad | Precisión y calidad | Asegúrese de que la información de identificación personal sea precisa, completa y esté actualizada durante todo su ciclo de vida. |
| A.1.4.5 Minimización de la información de identificación personal | Objetivos de minimización de la información de identificación personal | Definir y documentar los objetivos y mecanismos de minimización de datos. |
| A.1.4.6 Desidentificación y eliminación | Desidentificación y eliminación de información de identificación personal | Eliminar la información de identificación personal o hacerla no identificable cuando ya no sea necesaria. |
| A.1.4.7 Archivos temporales | Archivos temporales | Elimine los archivos temporales del procesamiento de información de identificación personal dentro de un período documentado. |
| A.1.4.8 Retención | Retención | No conserve la información de identificación personal durante más tiempo del necesario para los fines del procesamiento. |
| A.1.4.9 Eliminación | Disposición | Disponer de políticas, procedimientos y mecanismos documentados para la eliminación de información de identificación personal. |
| A.1.4.10 Controles de transmisión PII | Controles de transmisión PII | Información personal del sujeto transmitida a través de redes a los controles apropiados |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Compartir, transferir y divulgar información personal identificable (A.1.5)
Objetivo: Determinar si la información de identificación personal (PII) se comparte, transfiere o divulga de conformidad con las obligaciones aplicables, y documentar cuándo ocurre dicho intercambio.
| Control | Título | Resumen |
|---|---|---|
| A.1.5.2 Base para la transferencia de información personal identificable | Identificar la base para la transferencia de información personal identificable entre jurisdicciones. | Identificar y documentar la base para las transferencias internacionales de información personal identificable (PII). |
| A.1.5.3 Países para la transferencia de información personal identificable | Países y organizaciones internacionales para la transferencia de información personal identificable | Especifique y documente los países y organizaciones a los que se puede transferir la información personal identificable (PII). |
| A.1.5.4 Transferencia de registros de información personal identificable | Registros de transferencia de información personal identificable | Registrar las transferencias de información personal identificable hacia o desde terceros y garantizar la cooperación. |
| A.1.5.5 Registros de divulgaciones de información personal identificable | Registros de divulgaciones de información personal identificable a terceros | Registro de divulgaciones, incluyendo qué se divulgó, a quién y cuándo. |
¿Cómo se relacionan estos controles con el RGPD?
Los controles del controlador PII se asignan extensamente a GDPR Requisitos. Las conexiones clave incluyen:
- A.1.2 (Recolección y procesamiento) Se corresponde con los artículos 5 y 6 del RGPD (principios y base jurídica), el artículo 7 (consentimiento) y los artículos 8 y 9 (niños y categorías especiales).
- A.1.3 (Obligaciones para con los directivos de PII) Se corresponde con los artículos 12 a 22 del RGPD (derechos del interesado, incluidos el acceso, la rectificación, la supresión, la portabilidad y las decisiones automatizadas).
- A.1.4 (Privacidad desde el diseño) Se corresponde con el artículo 25 del RGPD (protección de datos desde el diseño y por defecto) y el artículo 5(1)(c–e) (minimización, exactitud, limitación del plazo de conservación).
- A.1.5 (Transferencias) Se corresponde con los artículos 44 a 49 del RGPD (transferencias internacionales, adecuación, garantías, normas corporativas vinculantes).
¿Por qué elegir SGSI.online ¿Para el cumplimiento del controlador de PII?
SGSI.online Le ayuda a implementar y evidenciar cada control de la Tabla A.1:
- Marco de control predefinido — Los 31 controles del controlador están mapeados y listos para su declaración de aplicabilidad.
- Gestión de consentimiento — Documentar los procesos de consentimiento, los registros y los mecanismos de retirada.
- Flujo de trabajo de PIA — Realizar y dar seguimiento a las evaluaciones de impacto en la privacidad con formularios predefinidos.
- Seguimiento de solicitudes de los interesados — Registrar y gestionar las solicitudes de acceso, corrección y eliminación con seguimiento de SLA
- Registros de transferencia — Mantener un registro de transferencias internacionales con la documentación que las respalde legalmente.
- Gestión de contratos de procesadores — Realizar un seguimiento de los contratos, la debida diligencia y las obligaciones de cumplimiento para cada procesador.
Preguntas Frecuentes
¿Se aplican los 31 controles a todos los controladores de información personal identificable (PII)?
No necesariamente. Debe incluir todos los controles aplicables en su declaración de aplicabilidad, pero puede excluir controles si su evaluación de riesgos determina que no son necesarios o si la ley aplicable no los exige. Cualquier exclusión debe estar justificada.
¿Cuál es la diferencia entre la Tabla A.1 y la Tabla A.3?
La tabla A.1 contiene controles específicos para los responsables del tratamiento de datos personales (por ejemplo, consentimiento, derechos del interesado, evaluaciones de impacto en la privacidad). Cuadro A.3 Contiene controles de seguridad de la información que se aplican tanto a los responsables del tratamiento como a los encargados del tratamiento (por ejemplo, control de acceso, registro de eventos, criptografía). Como responsable del tratamiento de datos personales, ambas tablas le son aplicables.
¿Dónde puedo encontrar las directrices para la implementación de estos controles?
El Anexo B, sección B.1, proporciona orientación de implementación para cada control de la Tabla A.1. La numeración coincide directamente: orientación para A.1.2.2 Identificar y documentar el propósito está en B.1.2.2, orientación para A.1.3.7 Acceso, corrección o supresión está en B.1.3.7, y así sucesivamente.
Documente sus selecciones de control del controlador en un Declaración de aplicabilidad para demostrar su razonamiento a los auditores.
Los DPO pueden encontrar una descripción general enfocada de sus obligaciones de controlador en nuestra guía para los DPO.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan en relación con estos controles.
