Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.11: Toma de decisiones automatizada

El control A.1.3.11 exige que las organizaciones identifiquen y aborden las obligaciones derivadas de decisiones basadas exclusivamente en el procesamiento automatizado de información personal identificable (PII). Este es uno de los controles más analizados en la norma ISO 27701:2025, lo que refleja el creciente interés regulatorio en la responsabilidad algorítmica.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.11?

La organización deberá identificar las obligaciones, incluidas las obligaciones legales, contraídas con los titulares de datos personales que resulten de las decisiones tomadas por la organización y que estén relacionadas con dichos titulares basándose únicamente en el procesamiento automatizado de datos personales, y deberá poder demostrar cómo cumple con estas obligaciones.

Este control se encuentra dentro del Obligaciones con los responsables de PII El objetivo (A.1.3) garantiza que las organizaciones proporcionen la transparencia y los derechos adecuados a las personas cuyos datos procesan. La toma de decisiones automatizada es un área que suscita creciente preocupación tanto regulatoria como pública, y este control exige que las organizaciones identifiquen de forma proactiva dónde se producen dichas decisiones e implementen salvaguardias efectivas.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.11) proporciona la siguiente orientación:

  • Identificar decisiones automatizadas — Determinar dónde se toman decisiones basadas únicamente en el procesamiento automatizado que producen efectos legales o efectos igualmente significativos en los principales de PII (por ejemplo, calificación crediticia, selección automatizada de personal, precios de seguros).
  • Proporcionar información útil — Proporcionar a los titulares de datos personales información significativa sobre la lógica implicada en la decisión automatizada, la importancia del procesamiento y las consecuencias previstas para la persona.
  • Implementar medidas de seguridad — Establecer medidas que incluyan el derecho a obtener la intervención humana de una persona cualificada, la capacidad del titular de la PII para expresar su punto de vista y la capacidad del titular de la PII para impugnar la decisión.
  • La organización debe documentar qué actividades de procesamiento implican únicamente la toma de decisiones automatizada y qué salvaguardas existen para cada una.
  • Vea también A.1.3.2: Obligaciones con los responsables de PII para requisitos relacionados
  • Vea también A.1.3.6: Oposición al procesamiento de información personal identificable para requisitos relacionados

El énfasis está en garantizar que las personas no estén sujetas a decisiones trascendentales tomadas enteramente por máquinas sin posibilidad de recurso. Esto se alinea estrechamente con las obligaciones de transparencia en A.1.3.3 y A.1.3.4.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.11 se asigna a varios GDPR provisiones:

  • Artículo 13(2)(f) y 14(2)(g) — Exigir a las organizaciones que informen a los interesados ​​sobre la existencia de la toma de decisiones automatizada, incluida la elaboración de perfiles, y que proporcionen información significativa sobre la lógica implicada, su importancia y las consecuencias previstas.
  • Artículo 22 (1) — Otorga a los interesados ​​el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o que les afecte de forma similar y significativa.
  • Artículo 22 (3) — Requiere que el responsable del tratamiento de datos implemente medidas adecuadas para salvaguardar los derechos del interesado, incluido el derecho a obtener la intervención humana, expresar su punto de vista y impugnar la decisión.

Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el ISO 29100, principio de Legitimidad y especificación del propósitoLas decisiones automatizadas deben tomarse dentro del ámbito de los fines legítimos y especificados originalmente. Cuando se utilice el procesamiento automatizado para tomar decisiones con consecuencias, la organización debe demostrar que este uso es coherente con los fines comunicados a los titulares de la información personal identificable y que existen las salvaguardas adecuadas.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.11, los auditores generalmente buscarán lo siguiente:

  • Inventario de decisiones automatizadas — Un registro de todas las actividades de procesamiento que impliquen exclusivamente la toma de decisiones automatizada, incluidos los tipos de decisiones tomadas y sus efectos en los titulares de información personal identificable.
  • Documentación lógica — Descripciones significativas de los algoritmos, modelos o reglas utilizados para tomar decisiones, escritas en términos que una persona no técnica pueda comprender.
  • Procedimientos de salvaguardia — Procesos documentados para la intervención humana, incluyendo quién está autorizado a revisar las decisiones automatizadas, cómo los titulares de información personal identificable pueden solicitar una revisión y los plazos de respuesta.
  • Avisos de privacidad — Evidencia de que los titulares de información personal identificable (PII) son informados sobre la toma de decisiones automatizada antes de que se lleve a cabo, incluso a través de avisos de privacidad o notificaciones específicas.
  • Registros de desafíos — Registros de todas las solicitudes de revisión humana, los resultados y cómo respondió la organización.
  • Evaluaciones de impacto — Evaluaciones de impacto en la privacidad o evaluaciones de impacto en la protección de datos que abarquen los sistemas de toma de decisiones automatizadas.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.3 Determinación de la información para los principales responsables de PII Requisitos de transparencia que incluyen informar a las personas sobre la toma de decisiones automatizada.
A.1.3.4 Proporcionar información a los responsables de PII El mecanismo para comunicar información sobre la toma de decisiones automatizada
A.1.2.2 Identificar y documentar el propósito La toma de decisiones automatizada debe estar dentro de los fines documentados.
A.1.2.3 Identificar la base legal Se requiere una base legal válida para el procesamiento automatizado.
A.1.4.3 Limitar el procesamiento El procesamiento automatizado debe seguir siendo proporcional al propósito identificado.
A.1.4.4 Precisión y calidad La precisión de los datos de entrada es fundamental para tomar decisiones automatizadas justas.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.3.10 (toma de decisiones automatizada). La edición de 2025 ha separado la toma de decisiones automatizada en su propio control dedicado (A.1.3.11), lo que refleja el creciente énfasis regulatorio en la transparencia y la rendición de cuentas algorítmicas. El contenido del requisito es similar, pero la mención explícita de los derechos de intervención humana, la capacidad de expresar opiniones y la capacidad de impugnar decisiones es más prominente. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar el cumplimiento de la toma de decisiones automatizada?

SGSI.online Le proporciona las herramientas que necesita para gestionar la toma de decisiones automatizada dentro de su sistema de gestión de la privacidad:

  • Registro de decisiones automatizado — Catalogar cada proceso automatizado de toma de decisiones, los datos que utiliza, las decisiones que produce y las medidas de seguridad implementadas.
  • Flujos de trabajo de evaluación de impacto — Realice evaluaciones de impacto en la privacidad para sistemas de toma de decisiones automatizadas con plantillas integradas y flujos de trabajo de aprobación.
  • Seguimiento de revisiones humanas — Registrar y hacer un seguimiento de las solicitudes de intervención humana, asegurando que las respuestas sean oportunas y estén documentadas.
  • Gestión de políticas — Mantenga políticas de control de versiones sobre la responsabilidad algorítmica, vinculadas a sus registros de procesamiento.
  • Mapeo de controles cruzados — Vea cómo los requisitos de toma de decisiones automatizadas se conectan con la transparencia, la base legal y los controles de calidad de los datos en una sola vista.
  • Paquetes de evidencia listos para auditoría — Exporta la documentación completa de tu sistema de gobernanza de toma de decisiones automatizada para auditorías de certificación.

Preguntas Frecuentes

¿Este control se aplica a todos los procesos automatizados?

No. A.1.3.11 se dirige específicamente a decisiones basadas en únicamente sobre el procesamiento automatizado que produce efectos jurídicos o efectos igualmente significativos en los titulares de información personal identificable. Es menos probable que el procesamiento automatizado que respalda, pero no determina exclusivamente, una decisión (por ejemplo, un sistema que señala las solicitudes para su revisión humana) quede comprendido en el ámbito de aplicación, aunque las obligaciones de transparencia siguen vigentes.

¿Qué se considera un “efecto igualmente significativo”?

Más allá de las consecuencias legales (como la denegación de una solicitud de crédito), existen efectos igualmente significativos entre las decisiones que afectan sustancialmente las circunstancias, el comportamiento o las opciones de una persona. Algunos ejemplos son el rechazo automático de una solicitud de empleo, el cálculo de las primas de seguros o la denegación de acceso a servicios. El umbral reside en si la decisión tiene un impacto significativo en la vida del individuo.

¿Cómo deberían las organizaciones explicar la lógica algorítmica a los particulares?

La norma exige información significativa sobre la lógica empleada, en lugar de una descripción técnica completa del algoritmo. En la práctica, esto significa explicar qué datos se utilizan, los factores generales considerados, cómo influyen en el resultado y cuáles son las posibles consecuencias. La explicación debe redactarse en un lenguaje sencillo que el titular de los datos personales pueda comprender razonablemente.

Nuestro Guía de requisitos de evidencia de auditoría Cubre la documentación que los auditores esperan para los controles de toma de decisiones automatizadas.

Para organizaciones que implementan sistemas de IA, consulte nuestra guía completa. Gobernanza de la privacidad de la IA Guía que abarca la intersección entre la norma ISO 27701:2025 y el riesgo de la IA.

Los DPO que supervisan el procesamiento automatizado deben leer nuestra guía para los DPO.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.