¿Qué requiere el control A.1.2.7?
La organización deberá tener un contrato por escrito con cualquier procesador de PII que utilice, y deberá asegurarse de que sus contratos con los procesadores de PII aborden la implementación de los controles apropiados en anexo A (consulta: Cuadro A.2).
Este control se encuentra dentro del Condiciones para la recogida y el procesamiento Objetivo (A.1.2). Reconoce que muchas organizaciones no procesan la información personal identificable (IPI) internamente, sino que contratan a proveedores de servicios en la nube, empresas de nóminas, plataformas de marketing y otros terceros para que procesen la IPI en su nombre. El apartado A.1.2.7 garantiza que estos acuerdos se rijan por contratos formales que extiendan las obligaciones de privacidad y seguridad al procesador.
La referencia a Cuadro A.2 Es significativo: significa que el contrato debe abordar la información personal identificable. procesador controles definidos en la norma, no solo cláusulas generales de protección de datos.
Los equipos de compras exigen cada vez más la certificación ISO 27701 a los procesadores; consulte nuestra guía de requisitos de adquisición y guía de evaluación de proveedores.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.2.7) proporciona la siguiente orientación sobre lo que deben especificar los contratos de procesamiento:
- Naturaleza y finalidad del tratamiento — Qué hará el procesador con la información de identificación personal y por qué.
- Tipos de información personal identificable procesada — Las categorías de datos personales que el procesador manejará (por ejemplo, datos de contacto, datos financieros, historiales médicos)
- Duración del procesamiento — Cuánto tiempo procesará el procesador la información de identificación personal y qué sucede con los datos al finalizar el contrato.
- Obligaciones del procesador — Deberes específicos que debe cumplir el procesador, incluida la implementación de la Cuadro A.2 controles apropiados para el procesamiento
- Derechos y obligaciones del controlador — El derecho de la organización a auditar, dar instrucciones y aprobar o rechazar a los subprocesadores.
- Requisitos para implementar Cuadro A.2 controles — El contrato debe hacer referencia o incorporar los controles específicos del procesador del Anexo A que sean relevantes para las actividades de procesamiento.
La guía también señala que las organizaciones deben considerar disposiciones de subprocesamiento — si el procesador está autorizado a contratar a otros procesadores y, de ser así, en qué condiciones y con qué requisitos de notificación.
¿Cómo se relaciona esto con el RGPD?
El control A.1.2.7 se corresponde con lo siguiente: GDPR provisiones:
- Artículo 5 (2) — El principio de responsabilidad, que exige que los responsables del tratamiento puedan demostrar el cumplimiento. Los contratos escritos con los encargados del tratamiento son un mecanismo clave de responsabilidad.
- Artículo 28, apartado 3, letra e) — Los contratos de procesamiento deben exigir que el procesador ayude al responsable del tratamiento a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 (seguridad, notificación de violaciones de seguridad, evaluaciones de impacto en la protección de datos y consulta previa).
- Artículo 28 (9) — El contrato deberá constar por escrito, incluso en formato electrónico.
GDPR El artículo 28 contiene cláusulas contractuales obligatorias adicionales a las que exige explícitamente la norma ISO 27701, incluyendo requisitos para que el encargado del tratamiento actúe únicamente siguiendo instrucciones documentadas, garantice la confidencialidad del personal que procesa los datos, elimine o devuelva los datos una vez finalizado el contrato y ponga a disposición toda la información necesaria para demostrar el cumplimiento. Las organizaciones que aspiren a cumplir plenamente con el RGPD deben asegurarse de que sus contratos cubran todos los requisitos del artículo 28(3).
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite dos principios de privacidad de la norma ISO 29100:
- Responsabilidad — Los contratos extienden la responsabilidad de la protección de la información de identificación personal más allá de las propias operaciones del controlador a sus procesadores, asegurando que se rija toda la cadena de procesamiento.
- Seguridad de la información — Contratos que requieren la implementación de Cuadro A.2 Los controles garantizan que los procesadores apliquen medidas de seguridad adecuadas a la información de identificación personal que manejan.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.2.7, los auditores generalmente buscarán lo siguiente:
- Registro del procesador — Una lista completa de todos los encargados del tratamiento de datos personales contratados por la organización, con las actividades de tratamiento que realizan.
- Contratos firmados o acuerdos de procesamiento diferido — Acuerdos por escrito con cada procesador, ya sea como acuerdos de procesamiento de datos (APD) independientes o como cláusulas dentro de acuerdos de servicio más amplios.
- Cuadro A.2 análisis de cobertura — Evidencia de que el contrato aborda los controles del procesador relevantes de Cuadro A.2ya sea mediante referencia explícita o mediante la incorporación de requisitos equivalentes
- Disposiciones del subprocesador — Cláusulas que abordan si el procesador puede contratar a otros procesadores y cómo hacerlo, incluidos los mecanismos de notificación y aprobación.
- Registros de revisión de contratos — Evidencia de que los contratos de procesamiento se revisan y actualizan periódicamente, en particular cuando cambian las actividades de procesamiento o se actualiza el estándar.
- Registros de debida diligencia — Evidencia de que la organización evaluó la capacidad del procesador para implementar los controles requeridos antes de celebrar el contrato.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| Cuadro A.2 (Controles del procesador PII) | Los controles que deben abordarse en los contratos de procesamiento |
| A.1.2.6 Evaluación del impacto en la privacidad | Las PIA deben considerar los riesgos derivados de los acuerdos de procesamiento. |
| A.1.5.2 Base para la transferencia de información personal identificable entre jurisdicciones | Compartir información de identificación personal con procesadores es una forma de divulgación que debe estar regulada. |
| A.1.2.8 Controlador PII conjunto | Cuando la relación es de corresponsabilidad en lugar de responsable-encargado del tratamiento, se aplican requisitos contractuales diferentes. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de procesamiento deben identificar qué actividades involucran a los procesadores. |
| ISO 27001 A.5.19–A.5.22 | Controles de seguridad de la relación con los proveedores en el SGSI subyacente |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
En la edición de 2019, este requisito apareció como la Cláusula 7.2.6 (contratos con procesadores de PII). El requisito central —contratos escritos que aborden los controles apropiados— no ha cambiado. La edición de 2025 refuerza el requisito haciendo referencia explícita a Cuadro A.2, que proporciona un conjunto de controles de procesamiento más claro y estructurado que el Anexo A de la edición de 2019. Esto facilita a las organizaciones la identificación exacta de los controles que deben abordar sus contratos. Consulte el Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para gestionar los contratos de procesamiento de PII?
SGSI.online Simplifica todo el ciclo de vida del contrato con el procesador, desde la debida diligencia hasta el monitoreo continuo del cumplimiento:
- Registro del procesador — Mantener un registro centralizado de todos los procesadores de información personal identificable (PII) con sus actividades de procesamiento, estado del contrato y fechas de revisión en un solo lugar.
- Biblioteca de cláusulas DPA — Plantillas de cláusulas contractuales predefinidas alineadas con la norma ISO 27701. Cuadro A.2 requisitos y artículo 28 del RGPD, listos para incorporar en sus acuerdos
- Cuadro A.2 cartografía — Identificar automáticamente qué controles del procesador se aplican a cada acuerdo de procesamiento, asegurando que no se omita ninguna cláusula requerida.
- Seguimiento de subprocesadores — Registrar los subprocesadores aprobados para cada procesador, con alertas cuando se notifiquen nuevos subprocesadores.
- Recordatorios para la revisión de contratos — Notificaciones automáticas cuando los contratos deben revisarse, cuando cambian las actividades de procesamiento o cuando se actualiza el estándar.
- Debida diligencia del proveedor — Cuestionarios integrados para evaluar las capacidades del procesador antes de la firma del contrato, con evaluaciones puntuadas y resultados documentados.
Preguntas Frecuentes
¿Cada proveedor necesita un acuerdo de procesamiento de datos?
Solo los proveedores que procesan información personal identificable (IPI) en su nombre (es decir, que actúan como encargados del tratamiento de IPI) requieren un contrato según el apartado A.1.2.7. Los proveedores que prestan servicios que no implican el acceso a IPI, como los proveedores de material de oficina, no necesitan un acuerdo de protección de datos (APD). La clave reside en determinar si el proveedor procesará, accederá o almacenará IPI como parte del servicio. En caso de duda, clasifique al proveedor como encargado del tratamiento y formalice un contrato; es preferible tener un APD innecesario a no tener uno obligatorio.
¿Qué debemos hacer con los subprocesadores?
Su contrato con cada encargado del tratamiento debe contemplar el subtratamiento. Algunos enfoques comunes incluyen: exigir la aprobación previa por escrito de todos los subencargados, exigir la notificación con derecho de oposición o preaprobar una lista específica de subencargados. Según el artículo 28 del RGPD, el encargado del tratamiento no puede contratar a otro sin la autorización previa, específica o general, por escrito del responsable del tratamiento. Sea cual sea el enfoque elegido, asegúrese de que el contrato exija al encargado del tratamiento imponer obligaciones contractuales equivalentes a sus subencargados.
¿Cómo procedemos con los encargados del tratamiento de datos que se niegan a firmar nuestro acuerdo de protección de datos?
Los grandes procesadores (especialmente los proveedores de SaaS) suelen ofrecer su propio acuerdo de protección de datos (DPA) estándar en lugar de firmar el suyo. Esto suele ser aceptable siempre que su DPA cubra los elementos requeridos: naturaleza y propósito del procesamiento, tipos de información personal identificable (PII), duración, obligaciones y la información relevante. Cuadro A.2 Controles. Revise su Acuerdo de Procesamiento de Datos (DPA) comparándolo con una lista de verificación de cláusulas requeridas. Si existen deficiencias, negocie anexos o términos complementarios. Si un procesador se niega a firmar un acuerdo por escrito sobre el procesamiento de información personal identificable (PII), no debe utilizar sus servicios, ya que el control exige explícitamente un contrato por escrito.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.
