Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.6: Oponerse al tratamiento de datos personales.

El control A.1.3.6 exige que las organizaciones proporcionen un mecanismo para que los titulares de datos personales puedan oponerse al tratamiento de dichos datos. A diferencia de la revocación del consentimiento, el derecho de oposición se aplica a múltiples fundamentos jurídicos.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.6?

La organización deberá proporcionar un mecanismo para que los titulares de datos personales puedan oponerse al tratamiento de sus datos personales.

Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). El derecho a oponerse es distinto de la retirada del consentimiento (cubierto en A.1.3.5 Modificar o retirar el consentimientoLa revocación del consentimiento solo se aplica cuando este constituye la base legal. El derecho de oposición se aplica de forma más amplia, incluso cuando el tratamiento de datos se basa en intereses legítimos o en el cumplimiento de una misión de interés público.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.6) proporciona orientación sobre cómo implementar un mecanismo de objeción eficaz:

  • Notificación proactiva — El derecho a oponerse debe ponerse en conocimiento del titular de la información personal identificable en el momento de la primera comunicación, y no quedar oculto entre la información general sobre privacidad.
  • Presentación clara — El derecho debe presentarse de forma clara y separada de otra información, para que no pase desapercibido.
  • Marketing directo — Cuando la objeción se refiere al marketing directo, siempre debe respetarse sin excepción. No existe una prueba de ponderación para las objeciones al marketing directo.
  • Otros procesamientos — En caso de objeciones al tratamiento basadas en intereses legítimos o interés público, la organización solo podrá continuar con el tratamiento si puede demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del titular de los datos personales.
  • Proceso de evaluacion — Las organizaciones deben tener un proceso documentado para evaluar las objeciones, incluyendo quién toma la decisión y qué factores se consideran.
  • Vea también A.1.3.3: Determinación de la información para los responsables de la información personal identificable para requisitos relacionados
  • Vea también A.1.3.7: Acceso, corrección o supresión para requisitos relacionados

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.6 se asigna extensamente a GDPR Artículo 21:

  • Artículo 21 (1) — Derecho a oponerse al tratamiento de datos basado en el interés público o en intereses legítimos, incluida la elaboración de perfiles basada en dichos motivos.
  • Artículo 21 (2) — Derecho a oponerse al tratamiento de datos con fines de marketing directo.
  • Artículo 21 (3) — Obligación de cesar el tratamiento de datos en caso de objeción al marketing directo.
  • Artículo 21 (4) — El derecho a oponerse debe ser explícitamente señalado y presentado de forma clara y separada.
  • Artículo 21 (5) — En el contexto de los servicios de la sociedad de la información, la objeción puede ejercerse por medios automatizados.
  • Artículo 21 (6) — Derecho a oponerse al tratamiento de datos con fines científicos, de investigación histórica o estadísticos.
  • Artículo 13(2)(b) y 14(2)(c) — El derecho a oponerse debe comunicarse como parte de la información sobre transparencia.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Consentimiento y elección Principio de la norma ISO 29100. Si bien el derecho de oposición va más allá del consentimiento en el sentido estrictamente legal, se trata fundamentalmente de garantizar que los titulares de información personal conserven una capacidad de decisión significativa sobre cómo se utilizan sus datos. Este principio reconoce que las personas deben tener autonomía continua, no solo en el momento de la recopilación inicial.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.6, los auditores generalmente buscarán lo siguiente:

  • Mecanismo de objeción — Un mecanismo documentado y accesible para que los titulares de información personal puedan presentar objeciones (formulario en línea, dirección de correo electrónico u opción dentro de la aplicación).
  • Comunicación proactiva — Pruebas de que el derecho a oponerse se comunica en el momento de la primera comunicación, presentadas de forma clara y separada.
  • Procedimientos de marketing directo — Procedimientos específicos para gestionar las objeciones al marketing directo, con pruebas de cumplimiento inmediato.
  • Marco de evaluación — Un proceso documentado para evaluar las objeciones al tratamiento de datos basadas en intereses legítimos, incluidos los criterios de ponderación.
  • Registros de decisiones — Registros de decisiones sobre objeciones, incluyendo el razonamiento cuando una objeción no fue admitida.
  • La formación del personal — Evidencia de que el personal que maneja las objeciones comprende las diferentes reglas para el marketing directo en comparación con otros tipos de procesamiento.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.5 Modificar o retirar el consentimiento Relacionados pero distintos: la retirada del consentimiento se aplica al tratamiento basado en el consentimiento; la objeción se aplica a los intereses legítimos y al interés público.
A.1.3.4 Proporcionar información a los responsables de PII El derecho a oponerse debe comunicarse de forma destacada como parte de la información proporcionada.
A.1.3.10 Gestión de solicitudes Las objeciones son una categoría de solicitud principal de información personal identificable que debe manejarse de acuerdo con los procedimientos documentados.
A.1.2.3 Identificar la base legal La base legal determina si la objeción activa un derecho absoluto (marketing directo) o una ponderación de intereses.
A.1.3.8 Obligaciones de informar a terceros Si se acepta una objeción, se debe notificar a los terceros que recibieron la información personal identificable.
A.1.3.2 Obligaciones con los directivos de PII El derecho a oponerse es una de las obligaciones que deben identificarse y documentarse.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito formaba parte de la cláusula 7.3.5 (Proporcionar un mecanismo para oponerse al procesamiento de PII). La edición de 2025 mantiene el requisito principal en A.1.3.6 con orientación en B.1.3.6. El énfasis en presentar el derecho de forma clara y separada de otra información, y la naturaleza absoluta de las objeciones de marketing directo, siguen siendo las características definitorias de este control. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar las objeciones de procesamiento?

SGSI.online Le proporciona las herramientas para gestionar las objeciones de procesamiento de forma sistemática y conforme a la normativa:

  • portal de recepción de objeciones — Proporcionar a los responsables de PII un mecanismo específico y fácil de encontrar para presentar objeciones, separado de las consultas generales.
  • Enrutamiento automatizado — Las objeciones de marketing directo se señalan para que se tomen medidas inmediatas, mientras que las objeciones por interés legítimo se remiten al responsable de la toma de decisiones correspondiente.
  • Marco de prueba de equilibrio — Plantillas estructuradas para llevar a cabo y documentar la prueba de ponderación de intereses legítimos al evaluar objeciones no relacionadas con el marketing.
  • Registro de auditoría de decisiones — Registre cada objeción, el proceso de evaluación y el resultado, con marcas de tiempo y responsables para una rendición de cuentas completa.
  • Activadores de notificaciones de terceros — Cuando se acepte una objeción, marque automáticamente la necesidad de notificar a los terceros que recibieron la información personal identificable, vinculándola a su A.1.3.8 Informar a terceros procedimientos

Preguntas Frecuentes

¿Cuál es la diferencia entre oponerse y retirar el consentimiento?

Retirada del consentimiento (A.1.3.5 Modificar o retirar el consentimientoEl derecho de oposición (A.1.3.6) se aplica únicamente cuando el consentimiento constituye la base legal para el tratamiento de datos. El derecho de oposición se aplica cuando el tratamiento se basa en intereses legítimos o en el interés público. En el caso del marketing directo, el derecho de oposición es absoluto, independientemente de la base legal. En la práctica, las organizaciones necesitan ambos mecanismos: un proceso de revocación del consentimiento para el tratamiento basado en el consentimiento y un proceso de oposición para otras bases legales.

¿Acaso se puede rechazar una objeción?

Para el marketing directo, no. La objeción al tratamiento de datos para marketing directo debe respetarse siempre sin excepción. En el caso del tratamiento basado en intereses legítimos o interés público, puede continuar si demuestra motivos legítimos imperiosos que prevalecen sobre los intereses, derechos y libertades del titular de los datos personales, o si el tratamiento es necesario para el establecimiento, el ejercicio o la defensa de reclamaciones legales. La carga de la prueba recae en la organización, y la decisión debe quedar documentada.

¿Cómo debe comunicarse el derecho de objeción “por separado”?

La orientación y GDPR El artículo 21(4) exige que el derecho de oposición se comunique explícitamente al titular de los datos personales y se presente de forma clara y separada de cualquier otra información. En la práctica, esto significa que no debe estar oculto en medio de un extenso aviso de privacidad. Debe tener su propio encabezado, su propia sección o su propia comunicación. En el primer contacto, debe indicarse directamente, en lugar de hacer referencia a él mediante un enlace a los términos generales.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.