¿Qué requiere el control A.1.2.2?
La organización deberá identificar y documentar los fines específicos para los que se procesarán los datos personales.
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2), que tiene como objetivo demostrar que el procesamiento es lícito, con una base legal según las jurisdicciones aplicables y con fines claramente definidos y legítimos.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.2) proporciona la siguiente orientación:
- La organización debe asegurarse de que los titulares de los datos personales comprendan la finalidad para la que se procesan sus datos personales.
- Es responsabilidad de la organización documentar y comunicar esto claramente a los responsables de PII.
- Sin una declaración clara de propósito, el consentimiento y la elección no pueden darse adecuadamente.
- La documentación de los propósitos debe ser suficientemente clara y detallada para respaldar la información proporcionada a los responsables de PII (ver A.1.3.3 Información para los responsables de PII)
- La documentación del propósito debe incluir la información necesaria para obtener el consentimiento (ver A.1.2.4 Determinar el consentimiento) e información documentada de políticas y procedimientos (ver A.1.2.9 Registros del procesamiento de información personal identificable)
- Vea también A.1.2.5: Obtener y registrar el consentimiento para requisitos relacionados
- Vea también A.1.3.5: Modificar o retirar el consentimiento para requisitos relacionados
La guía también señala que la taxonomía y las definiciones de la norma ISO/IEC 19944-1 pueden resultar útiles para describir los fines del procesamiento en contextos de computación en la nube.
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.2 se asigna a GDPR Artículo 5(1)(b) (principio de limitación de la finalidad) y Artículo 32(4) (garantizar que las personas que actúan bajo autoridad procesen únicamente siguiendo instrucciones). GDPR exige que los datos personales se recopilen para fines específicos, explícitos y legítimos, y que no se traten posteriormente de una manera incompatible con dichos fines.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite dos principios de privacidad de la norma ISO 29100:
- Consentimiento y elección — Una documentación clara del propósito permite un consentimiento significativo.
- Legitimidad y especificación del propósito — Aborda directamente el requisito para fines específicos y legítimos.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.2, los auditores generalmente buscarán lo siguiente:
- Registro de finalidad del tratamiento — Una lista documentada de todas las actividades de procesamiento de información de identificación personal con sus propósitos declarados.
- Avisos de privacidad — Evidencia de que los propósitos se comunican a los responsables de la información de identificación personal en un lenguaje claro y accesible.
- Registros de actividades de procesamiento — Registros documentados que muestren los propósitos de cada categoría de información personal identificable (PII) procesada.
- Gestión del cambio — Evidencia de que los nuevos propósitos de procesamiento se evalúan y documentan antes de que comience el procesamiento.
- Alineación con los registros de consentimiento — Que los fines documentados en los formularios de consentimiento coincidan con el procesamiento real que se está realizando.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.3 Identificar la base legal | Una vez definidos los propósitos, debe identificarse la base legal para cada uno de ellos. |
| A.1.2.4 Determinar el consentimiento | Los procesos de consentimiento dependen de propósitos claramente documentados. |
| A.1.2.9 Registros del procesamiento de información personal identificable | La documentación de propósito se incorpora a los registros de procesamiento. |
| A.1.3.3 Información para los responsables de PII | Los propósitos deben comunicarse a los responsables de PII. |
| A.1.3.4 Proporcionar información | Descripciones claras y accesibles de la finalidad en los avisos de privacidad. |
| A.1.4.3 Limitar el procesamiento | El procesamiento debe limitarse a lo necesario para los fines documentados. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito formaba parte de la cláusula 7.2.1 (identificar y documentar el propósito). El contenido del control es sustancialmente el mismo en 2025, pero ahora se encuentra en Cuadro A.1 con una separación más clara entre la declaración de control (A.1.2.2) y la guía de implementación (B.1.2.2). Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
¿Por qué elegir SGSI.online ¿Para fines de gestión del procesamiento?
SGSI.online Proporciona herramientas prácticas para documentar y gestionar los procesos:
- Registro de actividad de procesamiento — Documentar cada actividad de procesamiento con su propósito declarado, categorías de información personal identificable y base legal.
- Gestión de avisos de privacidad — Mantener avisos de privacidad con control de versiones vinculados a los fines del procesamiento.
- Seguimiento de cambios — Registrar cuándo se agregan, modifican o eliminan propósitos con un registro de auditoría completo
- Referencias cruzadas — Vincular los fines con los registros de consentimiento, las evaluaciones de impacto en la privacidad y las solicitudes de los interesados.
- Pruebas de auditoría — Documentación para fines de exportación como parte de su paquete de evidencia de cumplimiento
Preguntas Frecuentes
¿Qué nivel de detalle debe tener la documentación del propósito?
Debe ser suficientemente clara y detallada para poder utilizarse como parte de la información proporcionada a los titulares de datos personales y como base para obtener su consentimiento. Es improbable que propósitos vagos como «operaciones comerciales» o «mejora de los servicios» cumplan con el estándar. Cada propósito debe describir el resultado específico del procesamiento.
¿Qué ocurre si la finalidad de la recogida cambia después?
Todo nuevo propósito debe documentarse y evaluarse su compatibilidad con el propósito original. Si el nuevo propósito no es compatible, generalmente se requiere un consentimiento adicional o una base legal independiente. El cambio debe reflejarse en los avisos de privacidad y los registros de procesamiento actualizados.
¿Esto también se aplica a los procesadores de información de identificación personal?
A.1.2.2 es un control de controlador de PII. Los procesadores de PII tienen una obligación relacionada pero diferente en virtud de A.2.2.3 Fines de la organización (Fines de la organización), lo que les exige procesar la información de identificación personal únicamente para los fines documentados en las instrucciones del cliente.
Documente cómo se aplica este control a su organización en su Declaración de aplicabilidad.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
