Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.2.3: Identificar la base legal

El control A.1.2.3 exige que las organizaciones determinen, documenten y demuestren el cumplimiento de una base legal para cada actividad de procesamiento de información personal identificable (PII). Sin una base legal válida, ningún procesamiento puede llevarse a cabo conforme a la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.2.3?

La organización deberá determinar, documentar y poder demostrar el cumplimiento de la base jurídica pertinente para el tratamiento de la información de identificación personal para los fines identificados.

Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2), que tiene como objetivo demostrar que el procesamiento es lícito, con una base legal según las jurisdicciones aplicables y con fines claramente definidos y legítimos. Si bien A.1.2.2 Identificar y documentar el propósito Lo que estás procesando y por qué, A.1.2.3 establece el terreno legal que te permite hacerlo.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.2.3) proporciona la siguiente orientación:

  • Algunas jurisdicciones requieren que se establezca la base legal. antes El procesamiento comienza; las organizaciones no deben asumir que pueden asignar retroactivamente un fundamento jurídico.
  • La norma reconoce seis categorías comunes de fundamento jurídico, aunque la legislación aplicable puede definirlas de manera diferente:
  • ¿Donde categorías especiales de PII Cuando se procesan datos (por ejemplo, datos de salud, datos biométricos, origen racial o étnico), pueden requerirse bases legales adicionales, como el consentimiento explícito, la necesidad de cumplir con las obligaciones de la legislación laboral, la protección de intereses vitales o el procesamiento por parte de una entidad sin fines de lucro.
  • La organización debe ser capaz de demostrar que la base elegida sea apropiada; la mera afirmación no es suficiente.

¿Cómo se relaciona esto con el RGPD?

El control A.1.2.3 se corresponde con un conjunto sustancial de GDPR provisiones:

  • Artículo 5 (1) (a) — El principio de legalidad, equidad y transparencia.
  • Artículo 6(1)–(4) — Las seis bases legales para el tratamiento de datos, además de la prueba de compatibilidad para su posterior tratamiento.
  • Artículo 8 — Condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información.
  • Artículo 9 — Tratamiento de categorías especiales de datos personales
  • Artículo 10 — Procesamiento de datos relativos a condenas y delitos penales
  • Artículo 17 — Derecho de supresión (vinculado porque el derecho de supresión depende del fundamento jurídico en que se base).
  • Artículo 18 — Derecho a la limitación del tratamiento
  • Artículo 22 — Toma de decisiones individuales automatizada, incluida la elaboración de perfiles.

La amplitud de este mapeo refleja el hecho de que la selección de la base legal tiene consecuencias posteriores en casi todos los ámbitos. GDPR obligación: desde los derechos del interesado hasta los períodos de retención.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Legitimidad y especificación del propósito Principio de la norma ISO 29100. Este principio exige que la finalidad del tratamiento de la información personal sea conforme a la legislación aplicable y se base en un fundamento jurídico admisible. El apartado A.1.2.3 es el mecanismo operativo para cumplir este principio: transforma el requisito abstracto en un cumplimiento documentado y demostrable.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.2.3, los auditores generalmente buscarán lo siguiente:

  • Registro de base legal — Un mapeo documentado de cada actividad de procesamiento a su base legal, idealmente referenciado con el registro de propósito de A.1.2.2 Identificar y documentar el propósito
  • Evaluaciones de intereses legítimos (EIL) — Cuando se invoquen intereses legítimos, se deberán realizar pruebas de ponderación documentadas que demuestren que los intereses de la organización se sopesaron frente a los derechos de los titulares de información personal identificable.
  • Justificaciones de categoría especial — Justificación documentada por separado para cualquier procesamiento de información personal sensible, citando el fundamento legal adicional en el que se basa.
  • Registros de revisión legal — Evidencia de que se solicitó asesoramiento legal o se realizó una revisión interna al seleccionar la base legal, en particular para el procesamiento complejo o de alto riesgo.
  • Evidencia de cronología — Que se determinó la base legal antes El procesamiento comenzó, pero no se documentó retrospectivamente.
  • Comunicación a los responsables de PII — Que la base legal se indique en los avisos de privacidad y otra información proporcionada a las personas.

¿Cuáles son los controles relacionados?

Control Relación
A.1.2.2 Identificar y documentar el propósito Primero deben establecerse los propósitos; se determina la base legal para cada propósito.
A.1.2.4 Determinar el consentimiento Si el consentimiento es la base legal, el proceso de consentimiento debe estar formalmente definido.
A.1.2.5 Obtener y registrar el consentimiento Implementación operativa del consentimiento cuando este sea el fundamento jurídico elegido.
A.1.2.6 Evaluación del impacto en la privacidad Las evaluaciones de impacto en la privacidad (EIP) evalúan el tratamiento de datos en función de la base jurídica documentada y los fines establecidos.
A.1.3.3 Información para los responsables de PII La base legal debe comunicarse a los responsables de PII.
A.1.4.3 Limitar el procesamiento El procesamiento debe limitarse a lo que permite la base legal.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito apareció como parte de la Cláusula 7.2.2 (identificar la base legal). La intención de control no ha cambiado sustancialmente en la edición de 2025, pero la reestructuración en Cuadro A.1 Ahora proporciona una separación más clara entre la declaración de control normativo (A.1.2.3) y la guía de implementación normativa (B.1.2.3). El énfasis en la demostrabilidad, no solo determinar la base sino ser capaz de demostrarlo El cumplimiento de la misma se ha mantenido y, posiblemente, se ha fortalecido gracias a una estructura más clara. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Por qué elegir SGSI.online ¿Para gestionar la documentación de base legal?

SGSI.online Te brinda las herramientas para documentar, rastrear y demostrar tus fundamentos legales con confianza:

  • Mapeo de la base legal — Vincular cada actividad de procesamiento con su fundamento jurídico en un registro estructurado que los auditores puedan revisar de un vistazo.
  • Plantillas de evaluación de intereses legítimos — Las plantillas LIA prediseñadas te guían a través de la prueba de equilibrio con indicaciones y puntuación, para que no se te escape nada.
  • Banderas de categoría especial — Marcar automáticamente las actividades de procesamiento que involucren información personal sensible y solicitar la base legal adicional requerida.
  • Evidencia controlada por versiones — Cada cambio en la documentación de su base legal se registra con fecha y hora, creando un registro de auditoría que demuestra cuándo se tomaron las decisiones.
  • Avisos de privacidad integrados — Vincula tus registros de base legal directamente con los avisos de privacidad que los comunican a los responsables de la información de identificación personal.
  • Mapeo entre marcos — Vea cómo su documentación de base legal cumple simultáneamente con la norma ISO 27701, el RGPD y otros marcos normativos.

Preguntas Frecuentes

¿Podemos cambiar nuestra base legal una vez que se ha iniciado el procesamiento?

Cambiar la base jurídica de forma retroactiva suele ser problemático. La mayoría de los marcos de privacidad exigen que la base jurídica se determine antes de que comience el procesamiento. Si las circunstancias cambian, debe documentar la justificación de cualquier cambio, notificar a los responsables del tratamiento de datos personales cuando corresponda y considerar si los datos existentes deben reprocesarse con la nueva base jurídica o eliminarse. El requisito fundamental es la demostrabilidad: debe poder demostrar que la base jurídica era válida en el momento del procesamiento.

¿Cómo afecta la base legal a los derechos del interesado?

La base jurídica en la que se fundamente determinará directamente qué derechos del interesado se aplicarán. Por ejemplo, según el RGPD, el derecho a la portabilidad de los datos solo se aplica cuando el tratamiento se basa en el consentimiento o en la ejecución de un contrato. El derecho de oposición se aplica específicamente al tratamiento basado en intereses legítimos o en el interés público. Por ello, seleccionar la base jurídica correcta desde el principio es fundamental, ya que define las obligaciones que se deberán cumplir a lo largo de todo el ciclo de vida de los datos.

¿Qué ocurriría si se pudieran aplicar múltiples fundamentos jurídicos al mismo procesamiento?

Debe identificar y documentar la base legal principal en la que se apoya para cada actividad de procesamiento. Si bien teóricamente podría aplicarse más de una base, seleccionar una única base principal brinda claridad a los responsables del tratamiento de datos personales y simplifica la gestión del cumplimiento. Basarse en varias bases simultáneamente puede generar confusión, especialmente si una de ellas (como el consentimiento) se revoca posteriormente y se intenta recurrir a otra.

Documente cómo se aplica este control a su organización en su Declaración de aplicabilidad.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.