¿Qué requiere el control A.1.3.5?
La organización deberá proporcionar un mecanismo para que los titulares de datos personales puedan modificar o retirar su consentimiento.
Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Complementa los controles de recopilación de consentimiento en A.1.2 al garantizar que el consentimiento no sea una vía de sentido único. Si su organización se basa en el consentimiento como base legal para el procesamiento (ver A.1.2.4 Determinar el consentimiento y A.1.2.5 Obtener y registrar el consentimiento), también debes facilitar que las personas cambien de opinión.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.3.5) ofrece orientación sobre cómo debería ser un mecanismo eficaz de retirada del consentimiento:
- Igual facilidad — Retirar el consentimiento debería ser tan fácil como otorgarlo. Si el consentimiento se dio con un solo clic, retirarlo no debería requerir una llamada telefónica ni una carta escrita.
- La comunicación clara — El mecanismo de revocación debe comunicarse claramente a los titulares de los datos personales en el momento de obtener el consentimiento y en cualquier momento posterior.
- Sin efecto retrospectivo — La retirada no afecta a la legalidad del tratamiento realizado antes de la retirada. Esto debe comunicarse a los responsables del tratamiento de datos personales.
- Consecuencias — Antes de la retirada, los titulares de los datos personales deben ser informados de las posibles consecuencias (por ejemplo, la pérdida de acceso a un servicio). Las consecuencias no deben ser punitivas.
- Modificación — Además de la retirada total, considere la posibilidad de permitir que los titulares de la información de identificación personal modifiquen el alcance de su consentimiento (por ejemplo, optar por no recibir comunicaciones de marketing, pero mantener el consentimiento para la prestación de servicios).
- Vea también A.1.2.2: Identificar y documentar el propósito para requisitos relacionados
¿Cómo se relaciona esto con el RGPD?
El control A.1.3.5 se asigna a varios GDPR provisiones:
- Artículo 7 (3) — El interesado tendrá derecho a retirar su consentimiento en cualquier momento. Retirar el consentimiento será tan fácil como otorgarlo. El interesado será informado de este derecho antes de dar su consentimiento.
- Artículo 13, apartado 2, letra c) — El derecho a retirar el consentimiento debe estar incluido en la información proporcionada en el momento de la recopilación.
- Artículo 14, apartado 2, letra d) — El derecho a retirar el consentimiento debe incluirse en la información proporcionada para la recopilación indirecta.
- Artículo 18(1)(ad) — Derecho a la limitación del tratamiento, que puede aplicarse cuando se retira el consentimiento, pero pueden existir otros motivos.
La función GDPREl principio de que “es tan fácil retirar el consentimiento como otorgarlo” ha sido interpretado de forma estricta por las autoridades de supervisión. Las organizaciones que utilizan mecanismos de consentimiento en línea deben ofrecer opciones de retirada en línea igualmente sencillas.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el Consentimiento y elección Principio de la norma ISO 29100. El consentimiento informado requiere que las personas conserven el control sobre sus decisiones tras la elección inicial. La posibilidad de modificar o revocar el consentimiento en cualquier momento es fundamental para este principio, ya que garantiza que el consentimiento siga siendo una expresión genuina de los deseos de la persona.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.3.5, los auditores generalmente buscarán lo siguiente:
- Mecanismos de retirada — Mecanismos documentados y accesibles (centros de preferencias en línea, enlaces para darse de baja, formularios) que los titulares de datos personales pueden utilizar para retirar su consentimiento.
- Evaluación de facilidad igualitaria — Evidencia de que el proceso de retirada es comparable en esfuerzo al proceso de otorgamiento de consentimiento.
- Registros de comunicación — Evidencia de que los titulares de la información de identificación personal (PII) son informados sobre el mecanismo de retirada en el momento del consentimiento y en las comunicaciones posteriores.
- Documentación de consecuencias — Documentación clara de lo que sucede cuando se retira el consentimiento y evidencia de que esto se comunica a los responsables de la información personal identificable.
- Cese del procesamiento — Evidencia de que el procesamiento se detiene (o se modifica) cuando se retira el consentimiento, dentro de los plazos documentados.
- Registros de consentimiento — Registros actualizados que muestran la retirada, vinculados al registro de consentimiento original (ver A.1.2.5 Obtener y registrar el consentimiento)
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.4 Determinar el consentimiento | Define cómo se obtiene el consentimiento; A.1.3.5 garantiza que se pueda revocar. |
| A.1.2.5 Obtener y registrar el consentimiento | Los registros de consentimiento deben actualizarse para reflejar las retiradas. |
| A.1.3.3 Determinación de la información para los principales responsables de PII | El derecho a retirar el consentimiento debe estar incluido en la información proporcionada. |
| A.1.3.4 Proporcionar información a los responsables de PII | Los detalles del mecanismo de retirada deben comunicarse claramente. |
| A.1.3.6 Oponerse al tratamiento de datos personales | Relacionados pero distintos: la objeción se aplica independientemente del fundamento jurídico, la retirada se aplica únicamente al consentimiento. |
| A.1.4.6 Desidentificación y eliminación de información personal identificable | La revocación del consentimiento puede desencadenar obligaciones de eliminación. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito formaba parte de la Cláusula 7.3.4 (Proporcionar un mecanismo para modificar o retirar el consentimiento). La edición de 2025 mantiene el mismo requisito fundamental en A.1.3.5, con la guía en B.1.3.5. El énfasis en la “igualdad de facilidad” y el requisito de comunicar las consecuencias antes de la retirada siguen siendo los principios clave. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de la retirada del consentimiento?
SGSI.online Proporciona la infraestructura necesaria para gestionar todo el ciclo de vida del consentimiento, incluyendo su modificación y revocación:
- Centro de preferencias de consentimiento — Proporcionar a los titulares de información personal identificable un portal de autoservicio para ver, modificar o retirar su consentimiento en cualquier momento, cumpliendo con el requisito de “igualdad de acceso”.
- Actualizaciones de procesamiento automatizado — Cuando se retire el consentimiento, active los flujos de trabajo para detener el procesamiento afectado y notifique a los equipos pertinentes.
- Registros de consentimiento vinculados — Los eventos de retiro se vinculan automáticamente al registro de consentimiento original, creando un registro de auditoría completo desde la recopilación hasta el retiro.
- Plantillas de comunicación de consecuencias — Plantillas predefinidas para informar a los responsables de la información de identificación personal sobre las consecuencias de la retirada, garantizando una comunicación coherente.
- Panel de cumplimiento — Supervise el estado del consentimiento en toda su organización, con visibilidad de las tasas de retirada, los plazos de cese del procesamiento y las acciones pendientes.
Preguntas Frecuentes
¿Qué significa en la práctica “tan fácil de retirar como de dar”?
Si el consentimiento se obtuvo mediante una casilla de verificación en un formulario web, la opción de revocarlo debería estar disponible a través de un mecanismo en línea igualmente sencillo, como un centro de preferencias o un enlace para darse de baja. Exigir una llamada telefónica, una carta o una visita a una oficina física cuando el consentimiento se otorgó en línea no cumpliría con el estándar. El proceso de revocación debería requerir los mismos pasos o menos que el proceso de consentimiento.
¿La retirada del consentimiento implica que se deben eliminar todos los datos de identificación personal?
No necesariamente. La revocación del consentimiento implica que debe interrumpir el procesamiento basado en dicho consentimiento. Sin embargo, puede que existan otros fundamentos legales para conservar los datos (como obligaciones legales o intereses legítimos para otros fines). Debe evaluar si existe algún otro fundamento legal aplicable antes de eliminar los datos. Si no existe ningún otro fundamento, la eliminación o anonimización se realizará de acuerdo con sus políticas de retención.
¿Con qué rapidez debe cesar el procesamiento tras la retirada del consentimiento?
La norma no especifica un plazo preciso, pero se espera que el procesamiento finalice sin demoras indebidas. En la práctica, las organizaciones deben documentar su tiempo de respuesta objetivo y asegurarse de que sea razonable. Para el procesamiento automatizado (como los correos electrónicos de marketing), la finalización debe ser casi inmediata. Para procesos más complejos que involucran múltiples sistemas, un plazo breve documentado (como 48 horas) suele ser aceptable, siempre que la demora esté justificada.
Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.
Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.
