¿Qué requiere el control A.1.3.10?
La organización deberá definir y documentar las políticas y los procedimientos para gestionar y responder a las solicitudes legítimas de los titulares de información personal identificable (PII).
Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Es el control operativo que sustenta todos los controles de derechos individuales: retirada del consentimiento, objeción, acceso, corrección y supresión, proporcionar copias y notificación de tercerosSin un marco bien definido para la gestión de solicitudes, los derechos individuales se vuelven teóricos en lugar de prácticos.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.3.10) proporciona orientación sobre cómo elaborar un marco integral para la gestión de solicitudes:
- Plazos de respuesta — Definir plazos claros para acusar recibo y completar las solicitudes, en consonancia con los requisitos legales aplicables (por ejemplo, un mes según los requisitos legales aplicables). GDPR(con una posible prórroga de dos meses para solicitudes complejas)
- Procedimientos de verificación — Establecer procedimientos proporcionales para verificar la identidad del solicitante antes de procesar la solicitud.
- Rutas de escalada — Definir quién gestiona las solicitudes rutinarias, cuándo y cómo se escalan las solicitudes (por ejemplo, solicitudes complejas, solicitudes que implican datos confidenciales, solicitudes en las que pueden aplicarse exenciones).
- Registro de solicitudes y resultados — Mantener un registro completo de todas las solicitudes recibidas, incluyendo fechas, tipos, decisiones, fechas de finalización y cualquier exención aplicada.
- Opciones de autoservicio — Considere la posibilidad de proporcionar mecanismos de autoservicio (portales en línea, centros de preferencias) que permitan a los titulares de información personal ejercer ciertos derechos sin necesidad de presentar una solicitud formal.
- La formación del personal — Capacitar a todo el personal pertinente sobre los procedimientos de gestión de solicitudes, incluyendo cómo reconocer una solicitud válida, cómo verificar la identidad y cómo utilizar el sistema de gestión de solicitudes.
- Vea también A.1.3.3: Determinación de la información para los responsables de la información personal identificable para requisitos relacionados
- Vea también A.1.3.4: Proporcionar información a los responsables de PII para requisitos relacionados
Las directrices hacen hincapié en que la gestión de las solicitudes no debe ser un proceso improvisado. Un procedimiento documentado y repetible garantiza la coherencia, reduce el riesgo de incumplimiento de plazos y proporciona la documentación que los auditores esperan.
¿Cómo se relaciona esto con el RGPD?
El control A.1.3.10 se asigna a GDPR Artículo 12(3-6) y Artículo 15(1)(ah):
- Artículo 12 (3) — El responsable del tratamiento proporcionará información sobre las medidas adoptadas en respuesta a una solicitud sin dilación indebida y, en cualquier caso, en el plazo de un mes desde su recepción. El plazo podrá prorrogarse dos meses más si fuera necesario, informando el responsable del tratamiento al interesado en el plazo de un mes.
- Artículo 12 (4) — Si el responsable del tratamiento no atiende la solicitud, deberá informar al interesado sin demora y, a más tardar, en el plazo de un mes, de los motivos y del derecho a presentar una reclamación.
- Artículo 12 (5) — La información y las medidas adoptadas se proporcionarán de forma gratuita. Cuando las solicitudes sean manifiestamente infundadas o excesivas, el responsable del tratamiento podrá cobrar una tasa razonable o negarse a actuar.
- Artículo 12 (6) — Cuando el responsable del tratamiento tenga dudas razonables sobre la identidad del solicitante, podrá solicitar información adicional.
- Artículo 15(1)(ah) — La información específica que debe proporcionarse en respuesta a una solicitud de acceso.
El artículo 12 del RGPD establece el marco procesal que rige el ejercicio de los derechos de los interesados. Garantizar este derecho es fundamental para operar conforme a la normativa.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite dos principios de privacidad de la norma ISO 29100:
- Participación y acceso individual — La gestión eficaz de las solicitudes es el mecanismo mediante el cual las personas ejercen sus derechos de participación.
- Responsabilidad — Los procedimientos documentados, el registro de datos y la capacitación demuestran que la organización se toma en serio sus obligaciones y puede evidenciar su cumplimiento.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.3.10, los auditores generalmente buscarán lo siguiente:
- Política de gestión de solicitudes — Una política integral y documentada que abarque todos los tipos de solicitudes, plazos, funciones, criterios de escalamiento y exenciones.
- Estándar de Procedimientos Operativos — Procedimientos paso a paso para cada tipo de solicitud (acceso, rectificación, supresión, portabilidad, oposición, retirada del consentimiento)
- Solicitar registro — Un registro mantenido de todas las solicitudes con fechas, tipos, responsable asignado, estado, fecha de finalización y resultado.
- Métricas de rendimiento — Datos que muestran los tiempos de respuesta promedio, las tasas de finalización dentro del plazo establecido y cualquier incumplimiento de los plazos con análisis de la causa raíz.
- Procedimientos de verificación de identidad — Pasos de verificación documentados y proporcionales para cada canal a través del cual se reciben las solicitudes.
- Registros de entrenamiento — Pruebas de que el personal que gestiona las solicitudes ha recibido formación y que dicha formación se actualiza periódicamente.
- Plantillas de respuesta — Plantillas estandarizadas para acuse de recibo, cumplimiento, cumplimiento parcial y rechazo, que garantizan una comunicación coherente y jurídicamente sólida.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.3.2 Obligaciones con los directivos de PII | Identifica los derechos; A.1.3.10 proporciona el marco operativo para su cumplimiento. |
| A.1.3.7 Acceso, corrección o supresión | Los tipos de solicitud más comunes que debe admitir el marco de gestión |
| A.1.3.9 Proporcionar una copia de la información personal procesada | Las solicitudes de copia y portabilidad se gestionan dentro de este marco. |
| A.1.3.5 Modificar o retirar el consentimiento | Las solicitudes de revocación del consentimiento se gestionan dentro de este marco. |
| A.1.3.6 Oponerse al tratamiento de datos personales | Las solicitudes de objeción se gestionan dentro de este marco. |
| A.1.3.8 Obligaciones de informar a terceros | La notificación a terceros es un paso posterior en el flujo de trabajo de gestión de solicitudes. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito formaba parte de la cláusula 7.3.9 (Gestión de solicitudes). La edición de 2025 le otorga su propio número de control (A.1.3.10) con una guía específica en B.1.3.10. Los requisitos principales son sustancialmente los mismos, pero la edición de 2025 pone mayor énfasis en las opciones de autoservicio y la capacitación del personal como componentes de un marco de gestión eficaz. El formato estructurado también facilita la auditoría independiente de este control. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para la gestión de solicitudes de los interesados en los datos?
SGSI.online Proporciona un sistema completo de gestión de solicitudes diseñado para cumplir con la normativa de privacidad:
- Portal de solicitudes centralizado — Un único punto de recepción para todas las solicitudes de información personal identificable, con categorización automática por tipo de solicitud y asignación al miembro del equipo adecuado.
- Gestión de plazos — Cálculo automático de plazos basado en la jurisdicción aplicable, con alertas de escalamiento a medida que se acercan los plazos y notificaciones de vencimiento si se superan.
- flujo de trabajo de verificación de identidad — Pasos de verificación integrados que se pueden configurar por tipo de solicitud y nivel de riesgo, lo que garantiza controles proporcionales sin generar fricción.
- Registro de auditoría de extremo a extremo — Cada acción realizada en una solicitud se registra con marcas de tiempo, desde la recepción inicial hasta la respuesta final, creando la base de evidencia que los auditores requieren.
- Panel de rendimiento — Métricas en tiempo real sobre volúmenes de solicitudes, tiempos de respuesta, tasas de finalización y tendencias, que le ayudan a identificar cuellos de botella operativos y demostrar una mejora continua.
- Integración de autoservicio — Ofrezca a los titulares de información personal identificable opciones de autoservicio para solicitudes comunes (gestión del consentimiento, actualizaciones de preferencias), reduciendo el volumen de solicitudes formales que su equipo debe gestionar.
Preguntas Frecuentes
¿Qué hace que una petición sea “manifiestamente infundada o excesiva”?
Según el RGPD, una solicitud puede ser manifiestamente infundada si el interesado claramente no tiene intención de ejercer sus derechos (por ejemplo, si la realiza únicamente para causar molestias). Una solicitud puede ser excesiva si es repetitiva, por ejemplo, si se solicita el acceso a los mismos datos varias veces en un corto período de tiempo sin que haya ningún cambio en las circunstancias. La carga de la prueba recae sobre el responsable del tratamiento para demostrar que la solicitud es infundada o excesiva. Este umbral es deliberadamente alto, y la mayoría de las solicitudes legítimas deberían ser atendidas.
¿Cómo se deben gestionar las peticiones verbales o informales?
Una solicitud válida del interesado no necesita ser por escrito ni utilizar un lenguaje específico. El personal debe estar capacitado para reconocer cuándo una consulta verbal o un correo electrónico constituye una solicitud válida. La mejor práctica es registrar la solicitud de inmediato en el sistema de seguimiento y seguir el mismo procedimiento que para las solicitudes formales. Si se requiere verificación de identidad, explíquelo al interesado y guíelo durante el proceso. El plazo comienza a contar desde la fecha de recepción de la solicitud, no desde la fecha de verificación de identidad.
¿Qué debe hacer cuando una solicitud involucra múltiples derechos?
Una única comunicación de un titular de datos personales puede contener varias solicitudes (por ejemplo, acceso a sus datos y eliminación de ciertos registros). Cada elemento debe registrarse y controlarse por separado, ya que pueden aplicarse diferentes plazos, excepciones o procedimientos. Sin embargo, la respuesta puede consolidarse en una sola comunicación dirigida al titular. Cuando un elemento depende de otro (por ejemplo, proporcionar acceso antes de la eliminación para que el titular pueda verificar los datos), se debe gestionar la secuencia en consecuencia.
Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.
Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.
