¿Qué requiere el control A.1.2.5?
La organización deberá obtener y registrar el consentimiento de los titulares de información personal identificable de acuerdo con los procesos documentados.
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2) y representa el paso operativo que sigue A.1.2.4 Determinar el consentimiento (diseñar el proceso de consentimiento). Donde A.1.2.4 Determinar el consentimiento la define cómo Se recabará el consentimiento, y el apartado A.1.2.5 garantiza que la organización cumpla efectivamente con lo prometido: obtener el consentimiento en la práctica y mantener registros que lo demuestren.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.5) proporciona la siguiente orientación:
- La organización debería poder demostrar que el consentimiento fue dado libremente — Los responsables de las PII no deben ser coaccionados, penalizados por negarse ni se les deben presentar casillas premarcadas.
- El consentimiento debe ser soluciones y — vinculado a un propósito de procesamiento particular y claramente articulado, en lugar de una aprobación general.
- El consentimiento debe ser inequívoco y explícito — expresado a través de una acción afirmativa clara (por ejemplo, marcar una casilla, hacer clic en un botón, firmar un formulario) en lugar de inferirse del silencio o la inactividad.
- Los registros de consentimiento deben incluir:
- La función identidad del titular de la información personal identificable (o un identificador seudónimo que pueda vincularse posteriormente)
- La función fecha y hora Se dio el consentimiento
- La función declaración de consentimiento — los términos específicos a los que el principal de PII aceptó
- Vea también A.1.2.6: Evaluación del impacto en la privacidad para requisitos relacionados
- Vea también A.1.2.7: Contratos con procesadores de información personal identificable para requisitos relacionados
Estos tres elementos —dados libremente, específicos, inequívocos y explícitos— se alinean con la GDPRLa definición de consentimiento válido se ha convertido en el estándar internacional de facto para la calidad del consentimiento.
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.5 se corresponde con lo siguiente: GDPR provisiones:
- Artículo 7 (1) — Cuando el tratamiento se base en el consentimiento, el responsable del tratamiento deberá poder demostrar que el interesado ha dado su consentimiento. Este es el requisito de responsabilidad directa: debe conservar registros.
- Artículo 7 (2) — Si el consentimiento se otorga en una declaración escrita que también abarca otros asuntos, la solicitud de consentimiento debe ser claramente distinguible, estar en forma inteligible y fácilmente accesible, y estar redactada en un lenguaje claro y sencillo.
- Artículo 9 (2) (a) — Para categorías especiales de datos, se requiere consentimiento explícito. Esto eleva el nivel de exigencia con respecto al consentimiento estándar: el titular de la información personal debe confirmar expresamente su acuerdo, normalmente mediante un paso afirmativo adicional.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el Consentimiento y elección principio en ISO 29100. Mientras A.1.2.4 Determinar el consentimiento La sección A.1.2.5 aborda el diseño del mecanismo de consentimiento, mientras que la sección A.1.2.5 se centra en su ejecución, garantizando que la elección del titular de la información personal se registre y conserve como evidencia. En conjunto, estos controles proporcionan la implementación completa del principio de consentimiento y elección.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.5, los auditores generalmente buscarán lo siguiente:
- Base de datos de registros de consentimiento — Un repositorio centralizado de registros de consentimiento con los tres elementos requeridos: identificación del titular de la información personal identificable, hora en que se otorgó el consentimiento y la declaración de consentimiento.
- Registros de consentimiento de muestra — Los auditores suelen tomar una muestra para verificar la integridad de los datos, comprobando que todos los campos estén completos y que las marcas de tiempo sean plausibles.
- Capturas de pantalla del mecanismo de consentimiento — Evidencia de la interfaz o formulario real presentado a los responsables de PII, que muestre que no hay casillas premarcadas y que los requisitos de acción afirmativa son claros.
- Historial de versiones — Registros de la redacción del consentimiento que se utilizaba en el momento en que se obtuvo cada consentimiento, no solo la versión actual.
- Consentimiento explícito para categorías especiales — Registros mejorados para el procesamiento de datos sensibles, que muestran el paso afirmativo adicional tomado
- Registros de retiro — Evidencia de que las solicitudes de revocación del consentimiento fueron procesadas y que el procesamiento cesó (enlaces a A.1.3.5 Modificar o retirar el consentimiento)
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.4 Determinar el consentimiento | Define el proceso de consentimiento que implementa A.1.2.5 |
| A.1.2.3 Identificar la base legal | El registro del consentimiento solo es necesario cuando el consentimiento es la base legal elegida. |
| A.1.3.5 Modificar o retirar el consentimiento | Gestión continua del consentimiento, incluidos los mecanismos de actualización y revocación. |
| A.1.3.3 Información para los responsables de PII | El suministro de información es un requisito previo para un consentimiento informado válido. |
| A.1.2.2 Identificar y documentar el propósito | El consentimiento debe hacer referencia al propósito documentado específico. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de consentimiento forman parte de los registros de procesamiento más amplios. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito apareció como la Cláusula 7.2.4 (obtener y registrar el consentimiento). El contenido del control no ha cambiado en la edición de 2025: las tres cualidades del consentimiento válido (libremente otorgado, específico, inequívoco y explícito) y los tres elementos de un registro de consentimiento (identificación, tiempo y declaración de consentimiento) siguen siendo los mismos. La reestructuración en Cuadro A.1 proporciona una estructura de referencia más limpia con la instrucción de control en A.1.2.5 y la guía de implementación en B.1.2.5. Consulte el Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para la gestión de registros de consentimiento?
SGSI.online Facilita la obtención, el almacenamiento y la demostración de un consentimiento válido:
- Registro centralizado de consentimientos — Almacenar todos los registros de consentimiento en una ubicación de búsqueda con los cuatro campos obligatorios (identidad, fecha/hora, propósito, información proporcionada) capturados por defecto.
- Registro de auditoría con marca de tiempo — Cada evento de consentimiento se registra automáticamente con una marca de tiempo y es inmutable, lo que proporciona a los auditores la evidencia que necesitan sin necesidad de llevar un registro manual.
- Texto de consentimiento con control de versiones — Conserve un historial de cada versión del formulario de consentimiento para poder demostrar qué redacción se utilizó cuando se recabó cada consentimiento.
- Seguimiento de retiros — Registrar las revocaciones de consentimiento junto con el consentimiento original, con creación automática de tareas para garantizar que el procesamiento cese de inmediato.
- Exportación masiva para auditorías — Exporta los registros de consentimiento por rango de fechas, propósito o actividad de procesamiento para generar rápidamente paquetes de evidencia cuando llegue el momento de la auditoría.
- Marcado de categoría especial — Identificar automáticamente dónde se requiere el consentimiento explícito y solicitar el paso de acción afirmativa mejorada.
Preguntas Frecuentes
¿Durante cuánto tiempo deben conservarse los registros de consentimiento?
Los registros de consentimiento deben conservarse al menos mientras dure el tratamiento de datos que autorizan, más el periodo exigido por la legislación aplicable para demostrar el cumplimiento. Según el RGPD, el principio de responsabilidad implica que debe poder demostrarse que existía un consentimiento válido durante toda la duración del tratamiento. Muchas organizaciones conservan los registros de consentimiento durante el plazo de prescripción legal (normalmente 6 años en el Reino Unido) tras la finalización del tratamiento, en caso de impugnación regulatoria.
¿Qué se considera una acción afirmativa clara?
Una acción afirmativa requiere un paso deliberado y positivo por parte del titular de la información personal identificable. Algunos ejemplos incluyen: marcar una casilla de verificación sin marcar, hacer clic en un botón claramente etiquetado de "Acepto", firmar un formulario o proporcionar una declaración verbal que se grabe. El silencio, las casillas premarcadas, la navegación continua y la falta de exclusión voluntaria son No Las acciones afirmativas no constituyen un consentimiento válido en virtud de este control ni del RGPD.
¿El consentimiento electrónico tiene la misma validez que el consentimiento escrito?
Sí. La norma ISO 27701:2025 no prescribe el formato del consentimiento: el consentimiento electrónico y el escrito son igualmente válidos siempre que cumplan los tres criterios de calidad (libremente otorgado, específico, inequívoco y explícito). De hecho, el consentimiento electrónico puede ser más fácil de demostrar, ya que los sistemas digitales pueden registrar automáticamente la fecha y hora, las direcciones IP y la versión exacta de la información presentada. Lo fundamental es que el mecanismo de registro capture de forma fiable los tres elementos necesarios.
Documente cómo se aplica este control a su organización en su Declaración de aplicabilidad.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
