Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.2.9: Registros relacionados con el tratamiento de información personal identificable

El control A.1.2.9 exige que las organizaciones determinen y mantengan de forma segura los registros necesarios para cumplir con sus obligaciones en materia de tratamiento de datos personales. Este es el pilar fundamental de la rendición de cuentas de la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.2.9?

La organización deberá determinar y mantener de forma segura los registros necesarios para cumplir con sus obligaciones en materia de tratamiento de datos personales.

Este control se encuentra dentro del Condiciones para la recogida y el procesamiento Objetivo (A.1.2), que busca demostrar que el procesamiento es lícito, con fundamento jurídico según las jurisdicciones aplicables y con fines legítimos y claramente definidos. El registro de datos es la forma de demostrar que todo lo demás funciona correctamente.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.2.9) proporciona orientación detallada sobre las categorías de información que deben contener los registros de procesamiento:

  • Categorías de tratamiento — Los tipos de operaciones de procesamiento realizadas sobre la información de identificación personal (recopilación, almacenamiento, transferencia, eliminación, etc.)
  • Finalidades del tratamiento — Una declaración clara de por qué se procesa cada categoría de PII, vinculada a la documentación de propósito requerida por A.1.2.2 Identificar y documentar el propósito
  • Categorías de PII y responsables de PII — ¿Qué tipos de datos personales se almacenan y de quién (empleados, clientes, visitantes del sitio web, etc.)?
  • Destinatarios — Cualquier tercero o procesador que reciba la información de identificación personal (PII)
  • Transferencias internacionales — Detalles de cualquier transferencia a otras jurisdicciones, incluidas las medidas de seguridad vigentes.
  • Periodos de retencion — Cuánto tiempo se conserva cada categoría de información personal antes de su eliminación o anonimización.
  • Las medidas de seguridad — Descripción general de las medidas técnicas y organizativas que protegen la información personal identificable.
  • Vea también A.1.2.4: Determinar cuándo y cómo se debe obtener el consentimiento. para requisitos relacionados
  • Vea también A.1.2.5: Obtener y registrar el consentimiento para requisitos relacionados

La guía también subraya que los registros deben mantenerse actualizados a medida que cambian las actividades de procesamiento y ponerse a disposición de las autoridades de supervisión cuando estas lo soliciten. No se trata de un ejercicio de documentación puntual, sino de un requisito operativo continuo.

¿Cómo se relaciona esto con el RGPD?

El control A.1.2.9 se asigna a varios GDPR provisiones:

  • Artículo 5 (2) — El principio de rendición de cuentas, que exige a los controladores demostrar el cumplimiento
  • Artículo 24 (1) — Obligación de implementar medidas apropiadas y poder demostrar su cumplimiento.
  • Artículo 30(1)(ag) — Los requisitos detallados para los registros de actividades de procesamiento que mantienen los responsables del tratamiento.
  • Artículo 30(3-5) — Requisitos de que los registros consten por escrito (incluido el formato electrónico), que se pongan a disposición de la autoridad supervisora ​​que lo solicite, y exenciones para organizaciones con menos de 250 empleados (con excepciones).

El artículo 30 es ampliamente considerado como uno de los más importantes desde el punto de vista operativo. GDPR requisitos. Un Registro de Actividades de Procesamiento (ROPA, por sus siglas en inglés) bien mantenido suele ser el primer documento que una autoridad supervisora ​​solicitará durante una investigación.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Responsabilidad Principio de la norma ISO 29100. La rendición de cuentas exige que la organización documente y comunique sus políticas y procedimientos relacionados con la privacidad, asigne la responsabilidad de su implementación y mantenga evidencia de cumplimiento. El procesamiento de registros es el principal medio para demostrar dicha rendición de cuentas en la práctica.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.2.9, los auditores generalmente buscarán lo siguiente:

  • Registro de Actividades de Procesamiento (ROPA) — Un registro exhaustivo que abarque las siete categorías enumeradas en la guía, con evidencia de revisión periódica.
  • Control de versiones — Evidencia de que los registros se actualizan cuando cambian las actividades de procesamiento, con un registro de auditoría claro de las modificaciones.
  • Propiedad y responsabilidad — Una persona o función designada responsable de mantener los registros de procesamiento
  • Accesibilidad — Pruebas de que los registros pueden presentarse con prontitud a las autoridades de supervisión o con fines de auditoría.
  • Comprobaciones de integridad — Procedimientos para garantizar que las nuevas actividades de procesamiento se registren antes de que comience el procesamiento.
  • Seguridad de los registros — Los propios registros contienen información sensible y deben estar debidamente protegidos.

¿Cuáles son los controles relacionados?

Control Relación
A.1.2.2 Identificar y documentar el propósito La documentación de propósito se incorpora directamente a los registros de procesamiento.
A.1.2.3 Identificar la base legal Debe registrarse la base legal para cada actividad de procesamiento.
A.1.4.2 Recopilación de límites Los registros deben reflejar qué información personal identificable se recopila realmente, lo que ayuda a minimizarla.
A.1.4.6 Desidentificación y eliminación de información personal identificable Los períodos de retención de registros determinan los calendarios de eliminación.
A.1.5.2 Base para la transferencia de información personal identificable Los detalles de las transferencias internacionales registrados aquí se amplían en los controles específicos de cada transferencia.
A.1.3.3 Determinación de la información para los principales responsables de PII La información proporcionada a los titulares de información personal identificable debe coincidir con los registros de procesamiento.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito formaba parte de la Cláusula 7.2.8 (Registros relacionados con el procesamiento de información de identificación personal). Los requisitos sustantivos son los mismos en 2025, pero el formato reestructurado ahora separa la declaración de control (A.1.2.9) de la guía de implementación (B.1.2.9) de forma más clara. La edición de 2025 también refuerza el énfasis en mantener los registros actualizados como una obligación continua en lugar de un ejercicio puntual. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para el procesamiento de registros de información personal identificable?

SGSI.online Proporciona herramientas diseñadas específicamente para mantener registros de procesamiento completos y auditables:

  • Plantillas ROPA prediseñadas — Empiece con un registro estructurado que abarque las siete categorías requeridas por B.1.2.9, para que no omita ningún campo obligatorio.
  • Control de versiones automatizado — Cada cambio en un registro de procesamiento se rastrea con marcas de tiempo, detalles del usuario y descripciones de los cambios, creando el registro de auditoría que los auditores esperan.
  • Evidencia vinculada — Conectar los registros de procesamiento con las políticas relacionadas, los registros de consentimiento, las evaluaciones de impacto sobre la protección de datos (EIPD) y los mecanismos de transferencia en un único sistema integrado.
  • Exportación de la autoridad supervisora — Genera una exportación ROPA completa en formatos adecuados para las solicitudes de los reguladores, lista con solo hacer clic en un botón.
  • Revisar recordatorios — Establezca ciclos de revisión para cada actividad de procesamiento para que los registros se mantengan actualizados a medida que evolucionan sus operaciones.
  • Acceso basado en roles — Asegurar que los registros de procesamiento sean accesibles al personal autorizado, al tiempo que se mantienen protegidos contra cambios no autorizados.

Preguntas Frecuentes

¿Las organizaciones pequeñas necesitan mantener registros de procesamiento?

Sí. Si bien el artículo 30(5) del RGPD prevé una exención limitada para organizaciones con menos de 250 empleados, esta exención no se aplica si el tratamiento de datos puede suponer un riesgo para los derechos de las personas, no es ocasional o incluye categorías especiales de datos. En la práctica, la mayoría de las organizaciones que tratan sistemáticamente información de identificación personal (IIP) deberán mantener registros independientemente de su tamaño. La norma ISO 27701 no incluye una exención basada en el tamaño de la organización.

¿Con qué frecuencia se deben revisar los registros de procesamiento?

Los registros deben revisarse siempre que cambien las actividades de procesamiento y, como mínimo, como parte del ciclo regular de revisión de la gestión. Muchas organizaciones establecen revisiones trimestrales o semestrales del registro completo, con actualizaciones puntuales que se activan por nuevas actividades de procesamiento, cambios en los procesos existentes o cambios organizativos, como nuevos sistemas o relaciones con terceros.

¿Puede una hoja de cálculo cumplir con este requisito?

Técnicamente sí, pero las hojas de cálculo carecen de control de versiones, restricciones de acceso y recordatorios de revisión automatizados. A medida que aumentan las actividades de procesamiento, resulta difícil mantener las hojas de cálculo con precisión y son propensas a errores. Una plataforma de cumplimiento especializada proporciona la estructura, la capacidad de auditoría y las referencias cruzadas necesarias para cumplir con el estándar de forma consistente a lo largo del tiempo.

Documente cómo se aplica este control a su organización en su Declaración de aplicabilidad.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría sobre lo que los auditores esperan al evaluar este control.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.