¿Qué requiere el control A.1.2.6?
La organización deberá evaluar la necesidad de realizar una evaluación de impacto en la privacidad y, cuando proceda, llevarla a cabo siempre que se planifique un nuevo tratamiento de datos personales o cambios en el tratamiento existente de dichos datos.
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento objetivo (A.1.2). A diferencia de los controles anteriores que se centran en la base legal y el consentimiento, A.1.2.6 introduce un evaluación de riesgos requisito. Exige un enfoque de dos etapas: primero, evaluar si se necesita una PIA (paso de selección) y, segundo, si se necesita, llevarla a cabo antes de que comience el procesamiento.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.6) proporciona la siguiente orientación:
- El tiempo es crítico — Se deben realizar evaluaciones de impacto ambiental (EIA). antes El procesamiento comienza. Son una medida preventiva, no una justificación retrospectiva.
- La PIA debe evaluar:
- Necesidad y proporcionalidad — ¿Es necesario el tratamiento de los datos para la finalidad indicada y la cantidad de información personal identificable recopilada es proporcional a lo que se necesita?
- Riesgos para los titulares de información personal identificable — ¿Qué perjuicios potenciales podrían derivarse del tratamiento de datos, incluyendo el acceso no autorizado, la pérdida, la discriminación o el daño a la reputación?
- Medidas de mitigación propuestas — ¿Qué controles, medidas de seguridad o decisiones de diseño reducirán los riesgos identificados a un nivel aceptable?
- Vea también A.1.2.4: Determinar cuándo y cómo se debe obtener el consentimiento. para requisitos relacionados
- Vea también A.1.2.5: Obtener y registrar el consentimiento para requisitos relacionados
- Los resultados deben ser documentado y se utiliza para fundamentar las decisiones de procesamiento; la PIA no es un simple trámite, sino una herramienta para la toma de decisiones.
- Las referencias de la guía ISO / IEC 29134 (Directrices para la evaluación del impacto en la privacidad) como metodología estándar detallada para la realización de evaluaciones de impacto en la privacidad.
En la práctica, esto significa que las organizaciones necesitan tanto un proceso de selección (para decidir cuándo se requiere una Evaluación de Impacto en la Protección de Datos) como una metodología de dicha evaluación (para llevar a cabo la evaluación cuando se active).
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.6 se corresponde con un bloque sustancial de GDPR provisiones:
- Artículo 35(1)–(11) — Los requisitos de la Evaluación de Impacto en la Protección de Datos (EIPD). GDPR Exige evaluaciones de impacto en la protección de datos (EIPD) cuando el tratamiento de datos sea "susceptible de generar un alto riesgo para los derechos y libertades de las personas físicas" y establece requisitos mínimos de contenido, que incluyen: una descripción sistemática del tratamiento, una evaluación de la necesidad y la proporcionalidad, una evaluación de los riesgos y medidas para abordarlos.
- Artículo 36(1) (no incluido en el Anexo D pero estrechamente relacionado)–(5) — Consulta previa con la autoridad de control. Cuando una DPIA indique un riesgo residual elevado que no pueda mitigarse, el responsable del tratamiento deberá consultar con la autoridad de control antes de que comience el tratamiento.
El requisito de DPIA del RGPD es más prescriptivo que el control ISO 27701: exige una evaluación para el procesamiento de alto riesgo, mientras que A.1.2.6 exige a las organizaciones que evaluar la necesidad para una IAP para cualquier procesamiento nuevo o modificado. En la práctica, la implementación del apartado A.1.2.6 cumplirá con el requisito de IAP del RGPD siempre que los criterios de selección abarquen todos los escenarios que activan el artículo 35.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite varios principios de privacidad de la norma ISO 29100:
- Consentimiento y elección — Las evaluaciones de impacto en la privacidad ayudan a identificar dónde es necesario diseñar o reforzar los mecanismos de consentimiento.
- Limitación de colección — La evaluación de necesidad y proporcionalidad aborda directamente si se está recopilando demasiada información personal identificable.
- Cumplimiento de privacidad — Las evaluaciones de impacto en la privacidad (PIA, por sus siglas en inglés) son un mecanismo para verificar y demostrar el cumplimiento de los requisitos de privacidad antes de que comience el procesamiento.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.6, los auditores generalmente buscarán lo siguiente:
- Criterios de selección de PIA — Un umbral documentado o una lista de verificación que se utiliza para determinar si se requiere una PIA completa para una actividad de procesamiento o cambio determinado.
- Registros de detección — Evidencia de que el proceso de selección se aplicó a actividades de procesamiento nuevas y modificadas, incluidos los casos en los que se realizó una PIA completa. No considerado necesario (con justificación documentada)
- Informes PIA completados — Documentos de evaluación completos que abarcan la necesidad, la proporcionalidad, el análisis de riesgos y las medidas de mitigación propuestas.
- Decisiones sobre el tratamiento del riesgo — Evidencia de que se tomaron medidas con base en los hallazgos de la PIA: se implementaron medidas de mitigación, se modificó el procesamiento o, en algunos casos, se abandonó el procesamiento.
- Registros de aprobación — Aprobación de las partes interesadas pertinentes (por ejemplo, DPO, alta dirección) de que la PIA fue revisada y el riesgo residual aceptado.
- Registros de consultas previas — Cuando el riesgo residual siga siendo elevado tras la mitigación, se deberá demostrar que se consultó a la autoridad supervisora (Artículo 36 del RGPD).
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.2 Identificar y documentar el propósito | La documentación del propósito es un insumo para la PIA; no se puede evaluar la necesidad sin conocer el propósito. |
| A.1.2.3 Identificar la base legal | La PIA debe verificar que existe una base legal válida para el procesamiento previsto. |
| A.1.4.3 Limitar el procesamiento | La evaluación de proporcionalidad en la PIA informa las decisiones de minimización de datos. |
| A.1.4.6 Desidentificación y eliminación de información personal identificable | Las evaluaciones de impacto en la privacidad pueden considerar la anonimización o la eliminación como una medida de mitigación de riesgos. |
| A.1.2.7 Contratos con procesadores de información personal identificable | Cuando el procesamiento involucre a procesadores externos, la PIA debe evaluar los riesgos relacionados con el procesador. |
| ISO / IEC 29134 | La norma de referencia proporciona una metodología y directrices detalladas sobre la evaluación del impacto en la prevención (PIA, por sus siglas en inglés). |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito apareció como la Cláusula 7.2.5 (evaluación de impacto en la privacidad). El requisito principal no ha cambiado: evaluar la necesidad de una PIA y realizarla cuando corresponda. La reestructuración de 2025 en Cuadro A.1 Proporciona una separación más clara entre la declaración de control (A.1.2.6) y la guía (B.1.2.6). Se ha mantenido la referencia a ISO/IEC 29134 como norma metodológica detallada de PIA, lo que refuerza que las organizaciones deben seguir un enfoque estructurado en lugar de una evaluación ad hoc. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para evaluaciones de impacto en la privacidad?
SGSI.online Proporciona un flujo de trabajo PIA integral que le lleva desde la evaluación inicial hasta la aprobación final:
- Herramienta de evaluación PIA — Un cuestionario integrado que determina si se necesita una evaluación completa, con justificación documentada para cada decisión.
- Plantillas PIA estructuradas — Plantillas de evaluación predefinidas alineadas con la norma ISO/IEC 29134, que guían a los evaluadores a través de la necesidad, la proporcionalidad, la identificación de riesgos y la planificación de la mitigación.
- Puntuación de riesgos y mapas de calor — Análisis visual de riesgos con puntuación de probabilidad e impacto, lo que facilita la priorización de medidas de mitigación y la comunicación de los resultados a las partes interesadas.
- Seguimiento de la mitigación — Asigne acciones de tratamiento de riesgos a los propietarios con plazos establecidos y realice un seguimiento del progreso de la implementación dentro de la misma plataforma.
- Flujos de trabajo de aprobación — Enviar las evaluaciones de impacto en la privacidad (PIA) completadas al responsable de protección de datos (DPO) o a la alta dirección para su revisión y aprobación, con un registro de auditoría completo del proceso de aprobación.
- Evidencia vinculada — Conectar las evaluaciones de impacto en la privacidad (EIP) con las actividades de procesamiento, las bases legales y los registros de consentimiento a los que se refieren, creando una imagen completa de cumplimiento.
Preguntas Frecuentes
¿Cuándo es obligatoria una evaluación de impacto en la privacidad?
Según la norma ISO 27701:2025, un PIA no es automáticamente obligatorio para cada actividad de procesamiento; el control requiere que usted evaluar la necesidad Por un lado, y por otro, según el artículo 35 del RGPD, la evaluación de impacto en la protección de datos (EIPD) es obligatoria cuando el tratamiento de datos pueda suponer un alto riesgo para los derechos de las personas. El Comité Europeo de Protección de Datos ha publicado criterios que incluyen: la evaluación sistemática de aspectos personales (elaboración de perfiles), el tratamiento a gran escala de categorías especiales y la monitorización sistemática de áreas de acceso público. Las organizaciones deben incorporar estos factores desencadenantes en sus criterios de selección.
¿Se puede realizar una PIA después de que el procesamiento ya haya comenzado?
Tanto la norma como el RGPD esperan que se realicen evaluaciones de impacto en la privacidad. antes El procesamiento comienza. Sin embargo, si se descubre que se debería haber realizado una Evaluación de Impacto en el Procesamiento (EIP) y no se hizo, es preferible realizarla retrospectivamente a no hacerla en absoluto. La EIP retrospectiva puede identificar riesgos que requieren mitigación inmediata o incluso la interrupción del procesamiento. Los auditores notarán la falta de tiempo, pero verán con mejores ojos una EIP tardía que la ausencia de esta.
¿Con qué frecuencia deben revisarse las evaluaciones de impacto en la salud (EIP) existentes?
Las evaluaciones de impacto en la protección de datos (EIP) deben revisarse siempre que se produzca un cambio sustancial en el procesamiento que abarcan, como nuevas categorías de datos, nuevos destinatarios, cambios tecnológicos o cambios en el marco regulatorio. Se recomienda establecer un calendario de revisión periódica (por ejemplo, anual) para detectar cambios graduales que no hayan motivado una revisión individual. La revisión debe evaluar si el análisis de riesgos y las medidas de mitigación originales siguen siendo válidos.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
A análisis de las deficiencias puede ayudarle a evaluar si su proceso PIA actual cumple con los requisitos de 2025.
