¿Qué requiere el control A.1.2.4?
La organización deberá determinar y documentar un proceso mediante el cual pueda demostrar si, cuándo y cómo se obtuvo el consentimiento para el tratamiento de la información personal identificable (PII) de los titulares de dicha información.
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2). Cierra la brecha entre la identificación de su base legal (A.1.2.3 Identificar la base legal) y obtener realmente el consentimiento (A.1.2.5 Obtener y registrar el consentimiento). Cuando el consentimiento sea la base legal elegida, A.1.2.4 requiere que diseñe y documente el mecanismo antes de comenzar a recabar el consentimiento.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.4) proporciona la siguiente guía sobre qué debe incluir la documentación de consentimiento:
- Si se necesitaba consentimiento — No todo el procesamiento requiere consentimiento. La organización debe documentar su evaluación sobre si el consentimiento es la base legal apropiada para cada actividad de procesamiento.
- Cómo se obtuvo el consentimiento — El mecanismo específico utilizado (por ejemplo, casilla de verificación de consentimiento explícito, formulario firmado, acuerdo verbal con grabación) debe describirse con suficiente detalle para demostrar su validez.
- Cuando se obtuvo el consentimiento — El proceso debe registrar el momento en que se otorgó el consentimiento en relación con el inicio del procesamiento, demostrando que el consentimiento se otorgó antes de que se recopilara la información de identificación personal.
- Si el director de PII fue informado adecuadamente — Antes de dar su consentimiento, las personas deben recibir información adecuada sobre el procesamiento. El proceso documentado debe describir qué información se proporciona y cómo
- Vea también A.1.2.6: Evaluación del impacto en la privacidad para requisitos relacionados
- Vea también A.1.2.7: Contratos con procesadores de información personal identificable para requisitos relacionados
La guía también destaca que algunas jurisdicciones tienen requisitos específicos para el consentimiento de los niñosLas organizaciones que procesan información personal identificable (IPI) de menores deben documentar cómo verifican la edad del titular de la IPI y, cuando sea necesario, cómo obtienen el consentimiento de los padres o tutores legales.
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.4 se asigna a GDPR Los artículos 8(1) y 8(2), que tratan específicamente de las condiciones para el consentimiento de los niños en relación con los servicios de la sociedad de la información:
- Artículo 8 (1) — Cuando el consentimiento sea la base jurídica y el interesado sea un menor, el tratamiento solo será lícito si el consentimiento es otorgado o autorizado por el titular de la patria potestad. Los Estados miembros pueden fijar el umbral de edad entre 13 y 16 años.
- Artículo 8 (2) — El responsable del tratamiento deberá realizar esfuerzos razonables para verificar que el consentimiento fue otorgado o autorizado por el titular de la patria potestad, teniendo en cuenta la tecnología disponible.
Aunque las opciones de fondo GDPR El mapeo se centra en el consentimiento de los niños, pero los requisitos de consentimiento más amplios de los artículos 6 y 7 son igualmente relevantes. El apartado A.1.2.4 proporciona el marco del proceso que garantiza que el consentimiento (para cualquier grupo de edad) se diseñe, documente y demuestre sistemáticamente.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el Consentimiento y elección Principio de la norma ISO 29100. Este principio exige que los titulares de datos personales tengan la opción de autorizar o no el tratamiento de sus datos, y que se obtenga su consentimiento, cuando corresponda, antes de dicho tratamiento. El apartado A.1.2.4 operacionaliza este principio al exigir que el proceso de consentimiento esté predefinido y documentado, en lugar de gestionarse de forma improvisada.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.4, los auditores generalmente buscarán lo siguiente:
- Documentación del proceso de consentimiento — Un procedimiento escrito que describa cómo, cuándo y dónde se recoge el consentimiento para cada actividad de procesamiento que se base en él.
- Plantillas de formularios de consentimiento — Formularios estandarizados, guiones o maquetas de interfaz de usuario que muestren la redacción exacta, las casillas de verificación y la información que se presenta a los titulares de datos personales.
- procedimientos de verificación de edad — En los casos en que se procesen datos personales de menores, se deben documentar los pasos para verificar la edad y obtener el consentimiento de los padres.
- evidencia de provisión de información — Prueba de que los titulares de la información de identificación personal reciben información adecuada antes de dar su consentimiento, como enlaces a avisos de privacidad, avisos escalonados o divulgaciones justo a tiempo.
- Registros de decisiones — Documentación que muestre qué actividades de procesamiento requieren consentimiento y cuáles se basan en fundamentos legales alternativos, con la justificación de cada decisión.
- Calendario de revisión — Evidencia de que los procesos de consentimiento se revisan y actualizan periódicamente cuando cambian la legislación o las actividades de procesamiento.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.3 Identificar la base legal | Determina si el consentimiento es la base apropiada; esto activa este control. |
| A.1.2.5 Obtener y registrar el consentimiento | La ejecución operativa del proceso diseñado según A.1.2.4 |
| A.1.3.3 Información para los responsables de PII | Define qué información debe proporcionarse antes de que el consentimiento pueda otorgarse válidamente. |
| A.1.3.5 Modificar o retirar el consentimiento | Gestión continua del consentimiento, incluidos los mecanismos de retirada. |
| A.1.2.2 Identificar y documentar el propósito | El consentimiento debe ser específico para fines documentados. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de procesamiento deben hacer referencia al proceso de consentimiento utilizado. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito apareció como parte de la Cláusula 7.2.3 (determinar cuándo y cómo se debe obtener el consentimiento). La intención principal sigue siendo la misma en la edición de 2025: las organizaciones deben predefinir y documentar sus mecanismos de consentimiento. La reestructuración en Cuadro A.1 proporciona una separación más clara entre la declaración de control normativo (A.1.2.4) y la guía normativa (B.1.2.4). Se ha mantenido el énfasis en el consentimiento de los niños, lo que refleja la importancia continua del diseño apropiado para la edad en todos los marcos de privacidad globales. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para diseñar procesos de consentimiento?
SGSI.online Le ayuda a crear, documentar y mantener procesos de consentimiento que satisfagan a los auditores y protejan a los titulares de información personal identificable (PII):
- Generador de flujos de trabajo de consentimiento — Definir los procesos de obtención de consentimiento con procedimientos paso a paso, responsables asignados y puntos de aprobación.
- Biblioteca de plantillas — Empiece con plantillas de formularios de consentimiento prediseñadas que cubran escenarios comunes, incluidos formularios en línea, consentimiento verbal y autorización parental.
- Diseño de consentimiento vinculado a la finalidad — Vincular cada mecanismo de consentimiento directamente con la finalidad del tratamiento que respalda, garantizando especificidad y granularidad.
- Procedimientos de consentimiento infantil — Plantillas de flujo de trabajo específicas para la verificación de edad y el consentimiento parental que cumplen con el artículo 8 del RGPD y requisitos equivalentes.
- Revisar recordatorios — Avisos automatizados para revisar los procesos de consentimiento cuando cambian las regulaciones, se actualizan las actividades de procesamiento o se alcanzan las fechas de revisión.
Preguntas Frecuentes
¿Necesitamos un proceso de consentimiento para cada actividad de procesamiento?
No. A.1.2.4 requiere que documente un proceso que pueda demostrar if Se requería el consentimiento, no solo la forma de obtenerlo. Si una actividad de procesamiento se basa en otro fundamento jurídico (como intereses legítimos o necesidad contractual), debe documentarse la decisión de no utilizar el consentimiento. Lo fundamental es que cada actividad de procesamiento tenga una justificación documentada, independientemente de si se utiliza o no el consentimiento.
¿Qué nivel de detalle debe tener el consentimiento?
El consentimiento debe ser específico para cada finalidad de tratamiento. Un consentimiento agrupado —donde una sola casilla de verificación abarca múltiples finalidades no relacionadas— difícilmente cumplirá con el requisito de demostrabilidad de la norma. La mejor práctica consiste en ofrecer opciones de consentimiento separadas para cada finalidad, permitiendo que los titulares de los datos personales acepten algunas finalidades y rechacen otras. Esto también simplifica la revocación del consentimiento y el mantenimiento de registros.
¿Qué constituye información suficiente antes de dar el consentimiento?
Antes de dar su consentimiento, los titulares de datos personales deben comprender: la identidad de la organización, la finalidad específica del tratamiento, los tipos de datos personales que se recopilan, los terceros que recibirán los datos y su derecho a revocar el consentimiento. La información debe presentarse en un lenguaje claro y sencillo, sin estar oculta entre extensos términos y condiciones. Los avisos escalonados y las divulgaciones oportunas son estrategias eficaces.
Documente cómo se aplica este control a su organización en su Declaración de aplicabilidad.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
