Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.4: Suministro de información a los responsables de información personal identificable (PII).

El control A.1.3.4 exige que las organizaciones proporcionen a los titulares de datos personales información clara y fácilmente accesible que identifique al responsable del tratamiento de dichos datos y describa el procesamiento de los mismos. Es aquí donde la planificación de la transparencia se convierte en una comunicación real.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.4?

La organización deberá proporcionar a los titulares de datos personales información clara y fácilmente accesible que identifique al responsable del tratamiento de sus datos personales y describa el tratamiento que se les da.

Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Donde A.1.3.3 Información para los responsables de PII A.1.3.4 determina qué información proporcionar y cuándo, y se centra en la entrega: cómo se presenta, formatea y hace accesible la información a las personas que la necesitan.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.4) proporciona orientación sobre la calidad y la entrega de la información a los responsables de la información de identificación personal (PII):

  • Conciso y transparente — La información debe estar libre de jerga innecesaria y presentarse de una manera fácil de entender.
  • Inteligible — Escrito para el público objetivo, teniendo en cuenta factores como la edad, el idioma y la alfabetización.
  • De fácil acceso — Los responsables de la información personal identificable no deberían tener que realizar búsquedas exhaustivas para encontrarla. Debería estar ubicada en un lugar destacado y disponible sin obstáculos.
  • Lenguaje claro y sencillo — Evite el lenguaje legal o técnico siempre que sea posible. Si se necesitan términos técnicos, proporcione explicaciones.
  • Avisos por capas — Considere utilizar un enfoque por capas para el procesamiento complejo, con una capa de resumen breve que enlace a información más detallada.
  • Punto de contacto designado — Proporcionar un contacto específico para consultas relacionadas con la privacidad, facilitando a los titulares de información personal identificable la formulación de preguntas o el ejercicio de sus derechos.
  • Vea también A.1.3.7: Acceso, corrección o supresión para requisitos relacionados
  • Vea también A.1.3.8: Obligaciones de informar a terceros para requisitos relacionados

Las directrices reconocen que un único formato puede no ser adecuado para todos los públicos y animan a las organizaciones a considerar múltiples canales y formatos de distribución.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.4 se asigna a varios GDPR disposiciones relativas a la forma y la calidad de la transparencia:

  • Artículo 12 (1) — Requisito de transparencia: la información debe ser concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.
  • Artículo 12 (7) — La información puede proporcionarse en combinación con iconos estandarizados para ofrecer una visión general significativa.
  • Artículo 11 (2) — Disposiciones en las que el responsable del tratamiento no puede identificar al interesado.
  • Artículo 13 (3) — Requisito de informar sobre los cambios de propósito
  • Artículo 21 (4) — El derecho a objetar debe ser explícitamente señalado y presentado con claridad.

GDPR El artículo 12(1) es la disposición fundamental en materia de transparencia. Los organismos reguladores han impuesto multas significativas por avisos de privacidad que no superan las pruebas de claridad y accesibilidad, incluso cuando los elementos informativos requeridos estaban técnicamente presentes.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite dos principios de privacidad de la norma ISO 29100:

  • Apertura, transparencia y aviso — Aborda directamente el requisito de una comunicación clara y accesible sobre las prácticas de procesamiento.
  • Participación y acceso individual — Proporcionar un punto de contacto designado permite a las personas participar en la gestión de su privacidad.


ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.4, los auditores generalmente buscarán lo siguiente:

  • Avisos de privacidad publicados — Avisos reales disponibles para los responsables de PII, evaluados en cuanto a claridad, accesibilidad y exhaustividad.
  • Evaluación de legibilidad — Evidencia de que los avisos han sido revisados ​​para garantizar un lenguaje claro, teniendo en cuenta al público objetivo.
  • Estructura de avisos por capas — Cuando el procesamiento es complejo, evidencia de un enfoque de divulgación escalonado o progresivo.
  • Entrega en múltiples formatos — Información sobre privacidad disponible en todos los canales pertinentes (sitio web, aplicación, tienda física, teléfono).
  • Datos de contacto designados — Un punto de contacto de privacidad o un contacto del responsable de protección de datos claramente publicado
  • Pruebas de usuario o retroalimentación — Cualquier evidencia de que los responsables de PII realmente puedan encontrar y comprender la información proporcionada.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.3 Determinación de la información para los principales responsables de PII Determina el contenido; A.1.3.4 rige cómo se presenta y se entrega.
A.1.3.2 Obligaciones con los directivos de PII Las obligaciones generales que impulsan los requisitos de suministro de información
A.1.3.5 Modificar o retirar el consentimiento Los mecanismos de retirada del consentimiento deben comunicarse claramente como parte de la información proporcionada.
A.1.3.6 Oponerse al tratamiento de datos personales El derecho a oponerse debe presentarse de forma clara y separada de otra información.
A.1.3.10 Gestión de solicitudes Los datos de contacto y los procedimientos de solicitud deben formar parte de la información proporcionada.
A.1.2.4 Determinar el consentimiento Los puntos de recogida de consentimiento son momentos clave para la entrega de información sobre privacidad.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito formaba parte de la cláusula 7.3.3 (Proporcionar información a los principales de PII). La edición de 2025 mantiene los mismos principios, pero se beneficia de una separación más clara entre A.1.3.3 Información para los responsables de PII (qué comunicar) y A.1.3.4 (cómo comunicarlo). El énfasis en los avisos por capas y el lenguaje sencillo sigue siendo fundamental. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para proporcionar información privada?

SGSI.online Admite todo el ciclo de vida de la entrega de información privada:

  • plantillas de avisos de privacidad — Empiece con plantillas estructuradas profesionalmente, diseñadas para brindar claridad y exhaustividad, con indicaciones en lenguaje sencillo para cada sección.
  • Soporte de avisos por capas — Crea capas de resumen y avisos detallados vinculadas entre sí, lo que facilita la comunicación de procesos complejos.
  • Flujos de trabajo de aprobación — Someter los borradores de avisos a revisión legal, de cumplimiento y de marketing antes de su publicación, garantizando la calidad y la coherencia.
  • Notificaciones de cambios — Cuando cambien las actividades de procesamiento, recibirá avisos para actualizar los avisos de privacidad correspondientes antes de que los cambios entren en vigor.
  • Gestión centralizada de contactos — Mantenga sus datos de contacto de privacidad designados en un solo lugar, vinculados en todos los avisos y formularios de solicitud.
  • Registro de auditoría — Demostrar a los auditores exactamente qué información se publicó, cuándo se actualizó y quién aprobó cada versión.

Preguntas Frecuentes

¿Qué características debe tener un aviso de privacidad para que sea "fácilmente accesible"?

Fácilmente accesible significa que los titulares de la información personal identificable no deberían tener que buscarla. En un sitio web, esto generalmente implica un enlace destacado en el pie de página o en el encabezado de cada página. En aplicaciones móviles, significa que se puede acceder a la información desde dentro de la aplicación sin necesidad de navegar externamente. Para la recopilación de datos fuera de línea, significa que se proporcionan avisos impresos en el punto de recogida. La clave está en determinar si una persona razonable podría encontrar la información sin dificultad.

¿Cuándo conviene utilizar un enfoque de avisos por capas?

Los avisos por capas son especialmente útiles cuando el procesamiento es complejo, involucra múltiples propósitos o categorías de información personal identificable (IPI), o cuando el espacio es limitado (como en dispositivos móviles o en puntos de recolección físicos). La capa breve proporciona la información más importante de un vistazo (quién es usted, qué información recopila y por qué, derechos clave) con un enlace claro al aviso completo. Este enfoque equilibra la necesidad de exhaustividad con la realidad práctica de que la mayoría de las personas no leerán un documento extenso.

¿Se pueden utilizar iconos o elementos visuales en los avisos de privacidad?

Sí, y el RGPD lo fomenta específicamente. El artículo 12(7) permite que la información se presente junto con iconos estandarizados para ofrecer una visión general significativa de forma clara, inteligible y fácilmente visible. Los iconos pueden ayudar a transmitir mensajes clave rápidamente, pero deben complementar el texto, no sustituirlo. Los iconos utilizados deben ser coherentes y fácilmente comprensibles para el público objetivo.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.