Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.3: Determinación de la información para los responsables de información personal identificable (PII)

El control A.1.3.3 exige que las organizaciones determinen y documenten la información que se proporcionará a los titulares de datos personales sobre el tratamiento de dichos datos y el momento en que se proporcionará. Es fundamental garantizar la transparencia.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.3?

La organización deberá determinar y documentar la información que se proporcionará a los titulares de datos personales en relación con el tratamiento de sus datos personales y el momento en que se proporcionará dicha información.

Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Mientras A.1.3.2 Obligaciones con los directivos de PII identifica cuáles son sus obligaciones, A.1.3.3 profundiza en el contenido específico de la información que debe comunicarse y establece las reglas de tiempo para cuando debe proporcionarse esa información.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.3) proporciona orientación detallada tanto sobre el contenido como sobre el momento de la entrega de la información:

Información que debe proporcionarse

  • Identidad del responsable del tratamiento — El nombre y los datos de contacto de la organización responsable del procesamiento
  • Finalidades del tratamiento — Una explicación clara de por qué se procesa la información de identificación personal, alineada con A.1.2.2 Identificar y documentar el propósito
  • Categorías de información personal identificable — ¿Qué tipos de datos personales se recopilan y procesan?
  • Destinatarios — Cualquier tercero o categoría de terceros que recibirán la información de identificación personal (PII)
  • Periodos de retencion — Cuánto tiempo se almacenará la información de identificación personal o los criterios utilizados para determinar su retención.
  • Derechos disponibles — Los derechos específicos que pueden ejercer los titulares de datos personales (acceso, rectificación, supresión, limitación, portabilidad, oposición)
  • Toma de decisiones automatizada — Si se lleva a cabo algún tipo de elaboración de perfiles o toma de decisiones automatizada, y la lógica involucrada.
  • Transferencias internacionales — Detalles de cualquier transferencia a otras jurisdicciones, incluidas las salvaguardias vigentes.
  • Vea también A.1.3.6: Oposición al procesamiento de información personal identificable para requisitos relacionados
  • Vea también A.1.3.8: Obligaciones de informar a terceros para requisitos relacionados

Momento de la provisión

  • recogida directa — La información debe proporcionarse en el momento de la recogida.
  • Cobro indirecto — La información debe proporcionarse dentro de un plazo razonable después de obtener la información de identificación personal (PII), y no más tarde del momento de la primera comunicación con el titular de la PII o de la primera divulgación a un tercero.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.3 se asigna extensamente a GDPR disposiciones de transparencia:

  • Artículo 13(1-4) — Información que se debe proporcionar cuando se recopilan datos personales del interesado.
  • Artículo 14(1-5) — Información que se debe proporcionar cuando no se hayan obtenido datos personales del interesado.
  • Artículo 11 (2) — Disposiciones en las que el responsable del tratamiento no puede identificar al interesado.
  • Artículo 15(1-2) — Requisitos del derecho de acceso (informar a los interesados ​​sobre qué información pueden consultar)
  • Artículo 18 (3) — Informar a los interesados ​​antes de que se levante la restricción del tratamiento de datos.
  • Artículo 21 (4) — Informar a los interesados ​​sobre su derecho a oponerse.

La función GDPR La distinción entre los artículos 13 y 14 (recaudación directa frente a indirecta) se corresponde directamente con la guía de plazos en B.1.3.3.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Apertura, transparencia y aviso Principio de la norma ISO 29100. Este principio exige que los titulares de información personal sean informados sobre cómo se procesan sus datos de manera clara, accesible y oportuna. El apartado A.1.3.3 lo pone en práctica al exigir a las organizaciones que documenten con precisión qué información se necesita y cuándo debe entregarse.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.3, los auditores generalmente buscarán lo siguiente:

  • Matriz de contenido del aviso de privacidad — Un análisis documentado de la información que debe proporcionarse para cada actividad de procesamiento, en relación con los requisitos legales.
  • Documentación de tiempos — Normas claras sobre cuándo se proporciona la información, distinguiendo entre escenarios de recopilación directa e indirecta.
  • Avisos de privacidad — Documentos de notificación propiamente dichos (políticas de privacidad del sitio web, avisos de recopilación de datos, avisos de privacidad para empleados) que contengan los elementos de información requeridos.
  • Revisión de integridad — Evidencia de que los avisos se han revisado conforme a los requisitos documentados para garantizar que no falte nada.
  • Cobertura multicanal — Avisos de privacidad adecuados para cada canal de recopilación de datos (formularios web, teléfono, presencial, fuentes de terceros).

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.2 Obligaciones con los directivos de PII Identifica el conjunto completo de obligaciones; A.1.3.3 determina el contenido informativo específico.
A.1.3.4 Proporcionar información a los responsables de PII Cubre cómo entregar la información determinada en A.1.3.3.
A.1.2.2 Identificar y documentar el propósito La documentación sobre la finalidad sirve de base para la información proporcionada a los responsables de la información de identificación personal (PII).
A.1.2.9 Registros relacionados con el procesamiento de información personal identificable Los registros de procesamiento son una fuente clave para la información que se debe comunicar.
A.1.3.5 Modificar o retirar el consentimiento Los mecanismos de retirada del consentimiento deben comunicarse como parte del paquete de información.
A.1.3.7 Acceso, corrección o supresión La información sobre derechos forma parte de lo que debe comunicarse a los titulares de información personal identificable.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.3.2 (Determinación de la información para los principales de PII). La edición de 2025 le da su propio número de control (A.1.3.3) con una separación más clara entre la determinación del contenido de la información y el acto de proporcionarla (ahora A.1.3.4 Suministro de información). El contenido de la guía es sustancialmente similar, pero se beneficia del formato más estructurado. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar los requisitos de información de privacidad?

SGSI.online Le ayuda a determinar, documentar y mantener sistemáticamente la información que debe a los responsables de PII:

  • Creador de avisos de privacidad — Crear y mantener avisos de privacidad con indicaciones para cada elemento de información requerido, reduciendo el riesgo de omisiones.
  • Mapeo de canales de recolección — Documentar qué información se proporciona en cada punto de recogida de datos, garantizando una cobertura coherente en todos los canales.
  • Motor de reglas de sincronización — Establecer y controlar los plazos para la entrega de información, ya sea mediante recopilación directa o indirecta, con alertas cuando se acerquen las fechas límite.
  • Documentos con control de versiones — Mantenga un historial completo de los cambios en el aviso de privacidad con flujos de trabajo de aprobación, para que pueda demostrar qué información se proporcionó y cuándo.
  • detección de brechas de cumplimiento — Compare sus notificaciones actuales con los requisitos documentados para identificar la información faltante antes de que un auditor lo haga.

Preguntas Frecuentes

¿Cuál es la diferencia entre A.1.3.3 y A.1.3.4 Proporcionar información?

El apartado A.1.3.3 trata sobre cómo decidir qué información incluir y cuándo proporcionarla. A.1.3.4 Suministro de información Se trata de cómo realmente entregas esa información a los principales responsables de la información personal identificable (PII), abarcando el formato, la claridad, la accesibilidad y la presentación. Piensa en A.1.3.3 como el paso de planificación del contenido y A.1.3.4 Suministro de información como paso de entrega.

¿En qué se diferencian los plazos para la recaudación directa e indirecta?

Para la recopilación directa (donde la información personal se obtiene del individuo), la información debe proporcionarse en el momento de la recopilación, antes o durante la interacción. Para la recopilación indirecta (donde la información personal se obtiene de un tercero o de una fuente pública), la información debe proporcionarse en un plazo razonable y, como máximo, tras la primera comunicación con el individuo o la primera divulgación a un tercero. Según el RGPD, el plazo máximo para la recopilación indirecta es de un mes.

¿Necesita notificaciones separadas para diferentes actividades de procesamiento?

No necesariamente. Un único aviso de privacidad integral puede abarcar múltiples actividades de procesamiento, siempre que quede claro qué información corresponde a cada actividad. Sin embargo, cuando los contextos de procesamiento son muy diferentes (por ejemplo, datos de clientes frente a datos de empleados), los avisos separados suelen ofrecer mayor claridad. Lo fundamental es que se incluyan todos los elementos de información necesarios para cada actividad de procesamiento, independientemente de la cantidad de documentos que se utilicen.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.