Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.2: Obligaciones con los responsables del tratamiento de datos personales.

El control A.1.3.2 exige que las organizaciones determinen y documenten sus obligaciones legales, reglamentarias y comerciales con respecto a los titulares de información personal identificable (PII) y proporcionen los medios para cumplirlas. Este es el control de acceso para el objetivo completo de obligaciones del apartado A.1.3.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.2?

La organización deberá determinar y documentar sus obligaciones legales, reglamentarias y comerciales con respecto a los titulares de información personal identificable (PII) en relación con el tratamiento de su PII, y proporcionar los medios para cumplir con dichas obligaciones.

Este control se encuentra dentro del Obligaciones con los responsables de PII Objetivo (A.1.3), que garantiza que las organizaciones cumplan con sus obligaciones para con las personas cuyos datos procesan. El control fundamental de este grupo es el A.1.3.2: primero debe comprender qué derechos y obligaciones se aplican antes de poder implementar los mecanismos para cumplirlos.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.2) ofrece orientación sobre los tipos de obligaciones que las organizaciones deben identificar y documentar. Estas varían según la jurisdicción, pero comúnmente incluyen:

  • — Proporcionar a los titulares de información personal información clara sobre cómo se procesan sus datos (ver A.1.3.3 y A.1.3.4)
  • Derecho de acceso — Permitir a las personas obtener una copia de su información personal identificable (véase A.1.3.7 y A.1.3.9)
  • — Corrección de información personal identificable inexacta o incompleta (ver A.1.3.7)
  • — Eliminar la información de identificación personal cuando ya no sea necesaria o se retire el consentimiento (ver A.1.3.7)
  • — Limitar el procesamiento en determinadas circunstancias
  • Derecho a la portabilidad de los datos — Proporcionar información de identificación personal en un formato estructurado y legible por máquina (ver A.1.3.9)
  • Derecho a oponerse — Permitir que las personas se opongan al procesamiento (ver A.1.3.6)

La guía subraya que las obligaciones varían según la jurisdicción. Las organizaciones que operan en varios territorios deben identificar los derechos específicos que se aplican en cada uno y asegurarse de contar con los mecanismos adecuados.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.2 se asigna a GDPR El artículo 12(2) exige a los responsables del tratamiento que faciliten el ejercicio de los derechos de los interesados. Si bien el apartado A.1.3.2 trata de determinar y documentar el conjunto completo de obligaciones, el artículo 12(2) exige específicamente que los medios proporcionados a los titulares de información personal sean prácticos y accesibles. GDPRLos derechos mencionados anteriormente están codificados en los artículos 15 al 22.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Participación y acceso individual Principio de la norma ISO 29100. Este principio exige que los titulares de información personal tengan la capacidad de acceder a sus datos, cuestionar su exactitud y solicitar su modificación o eliminación cuando corresponda. El apartado A.1.3.2 corresponde a la capa de planificación que garantiza que se conozcan los derechos de participación aplicables antes de implementar los mecanismos.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.2, los auditores generalmente buscarán lo siguiente:

  • Registro de obligaciones — Un registro documentado de todas las obligaciones legales, regulatorias y comerciales con los titulares de información de identificación personal (PII), con su correspondiente asignación a las jurisdicciones aplicables.
  • Análisis jurisdiccional — Evidencia de que la organización ha identificado qué leyes de privacidad se aplican en función de dónde se encuentran los titulares de información personal identificable o dónde se realiza el procesamiento.
  • Mecanismos en funcionamiento — Procedimientos, formularios o sistemas documentados que permitan a los titulares de información de identificación personal ejercer cada derecho aplicable.
  • Documentación de políticas — Una política de derechos del interesado o equivalente que describa cómo se cumple cada obligación.
  • Registros de capacitación del personal — Evidencia de que el personal responsable de gestionar las solicitudes comprende las obligaciones y los procedimientos.
  • Revisiones regulares — Evidencia de que las obligaciones se reevalúan cuando cambia la legislación o la organización ingresa a nuevos mercados.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.3 Determinación de la información para los principales responsables de PII Una vez identificadas las obligaciones, determine qué información proporcionar.
A.1.3.4 Proporcionar información a los responsables de PII Proporcione la información requerida de forma clara y accesible.
A.1.3.5 Modificar o retirar el consentimiento La retirada del consentimiento es una de las obligaciones que deben identificarse y cumplirse.
A.1.3.7 Acceso, corrección o supresión Implementa las obligaciones de acceso, rectificación y supresión aquí identificadas.
A.1.3.10 Gestión de solicitudes Procedimientos operativos para responder a las solicitudes derivadas de estas obligaciones.
A.1.2.9 Registros relacionados con el procesamiento de información personal identificable Los registros de procesamiento deben reflejar las obligaciones identificadas para cada actividad.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

En la edición de 2019, este requisito formaba parte de la Cláusula 7.3.1 (Determinación y cumplimiento de las obligaciones con los principales de PII). La edición de 2025 lo reestructura en un control distinto (A.1.3.2) que se centra específicamente en determinar y documentar el alcance completo de las obligaciones, separado de los controles de suministro de información que siguen. Esto otorga al paso de planificación y análisis su propio punto de control de auditoría. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Por qué elegir SGSI.online ¿Para gestionar las obligaciones principales de PII?

SGSI.online Proporciona la estructura y las herramientas que necesita para identificar, documentar y cumplir con sus obligaciones con los responsables de PII:

  • Mapeo de obligaciones — Mapea los derechos del titular de la información de identificación personal en múltiples jurisdicciones en un solo registro, para que puedas ver de un vistazo qué derechos se aplican en cada lugar.
  • Portal de solicitud de datos del interesado — Brindar a los titulares de información personal identificable un mecanismo claro para ejercer sus derechos, con enrutamiento automatizado al equipo adecuado.
  • Automatización del flujo de trabajo — Realiza un seguimiento de cada solicitud desde su recepción hasta su finalización, con plazos de entrega y vías de escalamiento predefinidas.
  • Seguimiento de cambios regulatorios — Manténgase informado sobre los cambios legislativos que afectan sus obligaciones, con revisiones programadas cuando se actualicen las leyes.
  • Enlace de control cruzado — Vincular las obligaciones con los controles, políticas y procedimientos específicos que las cumplen, creando una imagen completa de cumplimiento.

Preguntas Frecuentes

¿Cómo se determina qué obligaciones se aplican a su organización?

Comience por identificar la ubicación de sus responsables de información personal identificable (PII), el lugar donde opera su organización y qué leyes de privacidad tienen alcance extraterritorial. Para cada jurisdicción aplicable, determine los derechos específicos de los interesados ​​que otorga la ley. Algunos marcos normativos comunes incluyen el RGPD (UE/EEE), el RGPD del Reino Unido, la CCPA/CPRA (California), la LGPD (Brasil) y la POPIA (Sudáfrica). Cada una impone obligaciones ligeramente diferentes, por lo que un análisis jurisdiccional es fundamental.

¿Cuáles son las obligaciones empresariales, a diferencia de las obligaciones legales?

Las obligaciones empresariales son compromisos que su organización ha asumido voluntariamente, como las promesas incluidas en su aviso de privacidad, los términos contractuales con los clientes o los códigos de conducta del sector a los que se ha adherido. Estas obligaciones pueden ir más allá de lo que exige la ley. Por ejemplo, podría comprometerse a responder a las solicitudes de acceso en un plazo de 14 días, aunque la ley permita 30 días. Estas obligaciones autoimpuestas también deben documentarse y cumplirse.

¿Se aplica este control a los procesadores de información de identificación personal?

A.1.3.2 es un control del responsable del tratamiento de datos personales. Los encargados del tratamiento de datos personales tienen obligaciones relacionadas según A.2.3 (Obligaciones de los encargados del tratamiento de datos personales con los titulares de dichos datos), que les exigen ayudar al responsable del tratamiento a cumplir con estas obligaciones. No obstante, los encargados del tratamiento deben comprender las obligaciones del responsable del tratamiento para poder brindar un apoyo eficaz cuando sea necesario.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.