Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.3.7: Acceso, corrección o borrado

El control A.1.3.7 exige que las organizaciones implementen políticas, procedimientos o mecanismos para cumplir con sus obligaciones respecto a los titulares de información personal identificable (PII) en cuanto al acceso, la corrección o la eliminación de dicha información. Estos tres derechos constituyen el núcleo operativo de la gestión de las solicitudes de los interesados.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.7?

La organización deberá implementar políticas, procedimientos o mecanismos para cumplir con sus obligaciones para con los titulares de información personal identificable (PII) en lo que respecta al acceso, la corrección o la eliminación de dicha información.

Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Mientras A.1.3.2 El apartado A.1.3.7 identifica las obligaciones existentes y exige que se construyan los mecanismos operativos reales que cumplan tres de los derechos del interesado que se ejercen con mayor frecuencia: acceso, rectificación y supresión.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.7) proporciona orientación sobre la implementación de cada uno de los tres derechos:

Derecho de acceso

  • Proporcionar a los titulares de información personal identificable (PII) la capacidad de acceder a la información personal identificable que se guarda sobre ellos.
  • Incluya información complementaria como los fines del tratamiento, las categorías de datos, los destinatarios, los períodos de conservación y la fuente de los datos.
  • Verifique la identidad del solicitante antes de revelar cualquier información personal identificable.

Derecho de rectificación

  • Permitir que los titulares de información personal identificable (PII) corrijan la información personal identificable inexacta sin demoras indebidas.
  • Proporcionar un mecanismo para completar la información personal identificable incompleta, teniendo en cuenta los fines del tratamiento.
  • Cuando la corrección afecte a datos compartidos con terceros, notifique a esas partes (véase A.1.3.8)

  • Eliminar la información de identificación personal cuando ya no sea necesaria para el propósito indicado.
  • Borrar la información de identificación personal cuando se haya retirado el consentimiento y no exista otra base legal aplicable (ver A.1.3.5)
  • Borrar la información de identificación personal cuando el individuo se haya opuesto y no existan motivos legítimos imperiosos (ver A.1.3.6)
  • Eliminar la información de identificación personal que haya sido procesada ilegalmente.
  • Plazos de documentación para responder a cada tipo de solicitud.

Las directrices también hacen hincapié en la importancia de verificar la identidad antes de tramitar cualquier solicitud, para evitar el acceso no autorizado o la manipulación de la información de identificación personal.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.7 se asigna a varias teclas GDPR provisiones:

  • Artículo 5, apartado 1, letra d) — Principio de exactitud: los datos personales deben ser exactos y mantenerse actualizados.
  • Artículo 16 — Derecho de rectificación
  • Artículo 17(1)(af) — Derecho de supresión (derecho al olvido), incluidos los seis motivos por los que debe efectuarse la supresión.
  • Artículo 17 (2) — Obligación de informar a otros responsables del tratamiento sobre las solicitudes de supresión cuando los datos se hayan hecho públicos
  • Artículo 13(2)(b) y 14(2)(c) — Obligación de informar a los interesados ​​sobre sus derechos de acceso, rectificación y supresión.

Las solicitudes de acceso (o solicitudes de acceso del interesado, SAR) son, de forma sistemática, el tipo de solicitud más común por parte de los interesados ​​en todas las jurisdicciones. Las organizaciones deben prever gestionarlas con regularidad y contar con procesos eficientes.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Participación y acceso individual Principio de la norma ISO 29100. Este principio exige que los titulares de información personal tengan la capacidad de acceder a sus datos, cuestionar su exactitud y solicitar su modificación o eliminación cuando corresponda. El control de implementación principal para este principio es el apartado A.1.3.7.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.7, los auditores generalmente buscarán lo siguiente:

  • Política de solicitud de datos por parte del interesado — Una política integral que abarque los procedimientos de acceso, rectificación y supresión, incluyendo funciones, responsabilidades y plazos.
  • Mecanismo de solicitud de entrada — Un proceso documentado y accesible para recibir solicitudes (formulario en línea, correo electrónico, en persona).
  • Procedimientos de verificación de identidad — Pasos documentados para verificar la identidad de los solicitantes antes de actuar, proporcionales a la sensibilidad de los datos.
  • Plantillas de respuesta — Plantillas estandarizadas para acusar recibo, atender y rechazar solicitudes, con un lenguaje jurídicamente sólido.
  • Registro de solicitudes — Un registro de todas las solicitudes recibidas, con fechas, tipos, decisiones y fechas de finalización que demuestren el cumplimiento de los plazos.
  • Documentación de exención — Cuando se rechacen las solicitudes (total o parcialmente), se deberá presentar una justificación documentada que cite la exención aplicable.
  • Capacidad del sistema — Evidencia de que los sistemas pueden localizar, extraer, corregir y eliminar información de identificación personal en todos los almacenes de datos relevantes.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.9 Proporcionar una copia de la información personal procesada Amplía el derecho de acceso con requisitos específicos de formato y portabilidad.
A.1.3.10 Gestión de solicitudes Proporciona el marco operativo para gestionar todas las solicitudes de información personal identificable.
A.1.3.8 Obligaciones de informar a terceros Cuando se realice una corrección o supresión, se deberá notificar a terceros.
A.1.3.5 Modificar o retirar el consentimiento La revocación del consentimiento puede dar lugar a obligaciones de supresión según el apartado A.1.3.7.
A.1.3.6 Oponerse al tratamiento de datos personales Las objeciones admitidas pueden dar lugar a obligaciones de eliminación en virtud del apartado A.1.3.7.
A.1.2.9 Registros relacionados con el procesamiento de información personal identificable El procesamiento de registros ayuda a localizar toda la información personal identificable relevante al atender las solicitudes de acceso o eliminación.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

En la edición de 2019, estos derechos estaban cubiertos en las Cláusulas 7.3.6 (Acceso, corrección y/o supresión). La edición de 2025 los consolida en A.1.3.7 con una guía ampliada en B.1.3.7. Los requisitos básicos son sustancialmente los mismos, pero el formato de 2025 proporciona una estructura más clara para la auditoría. La adición de A.1.3.9 (proporcionar una copia) como un control separado también agudiza la distinción entre acceso y portabilidad. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar el acceso, la corrección y el borrado?

SGSI.online Proporciona soporte integral para los derechos de los interesados ​​que requieren mayor atención desde el punto de vista operativo:

  • Portal de solicitud de datos del interesado — Un formulario de admisión personalizado que captura el tipo de solicitud, verifica la identidad y registra automáticamente la solicitud con seguimiento de plazos.
  • Motor de flujo de trabajo — Dirige las solicitudes a los equipos adecuados con asignaciones de tareas automatizadas, escalamientos y recordatorios de plazos para que nada se pase por alto.
  • Integración de mapeo de datos — Conéctese a su inventario de datos para identificar rápidamente todos los sistemas que contienen la información personal identificable del solicitante, lo que reduce el tiempo de búsqueda para las solicitudes de acceso y eliminación.
  • Gestión de exenciones — Plantillas estructuradas para documentar y justificar cualquier exención aplicada, creando un registro defendible para los reguladores.
  • Informes de rendimiento — Panel de control que muestra el volumen de solicitudes, los tiempos de respuesta, las tasas de finalización y las tendencias, lo que le ayuda a identificar cuellos de botella antes de que se conviertan en problemas de cumplimiento.
  • Notificación de terceros — Cuando se completen las correcciones o eliminaciones, active las notificaciones a terceros según A.1.3.8

Preguntas Frecuentes

¿Cómo se debe verificar la identidad antes de atender una solicitud?

La verificación debe ser proporcional a la sensibilidad de los datos y al riesgo de que caigan en manos equivocadas. Para los clientes existentes, se puede verificar la identidad mediante sus credenciales de acceso. Para otros, se puede solicitar una copia de su documento de identidad con foto o pedirles que confirmen información que solo ellos conocen. Lo fundamental es tener certeza de la identidad del solicitante sin imponer una carga excesiva que disuada a las personas de ejercer sus derechos.

¿Existen motivos para denegar una solicitud de eliminación de datos?

Sí. El derecho de supresión no es absoluto. Entre las excepciones más comunes se incluyen el tratamiento necesario para el cumplimiento de una obligación legal, el ejercicio de la autoridad pública, razones de salud pública, el archivo en interés público y la formulación, el ejercicio o la defensa de reclamaciones legales. Cada denegación debe documentarse indicando la excepción específica invocada, y el titular de los datos personales debe ser informado de la denegación y de su derecho a presentar una reclamación ante una autoridad de control.

¿Cuál es el plazo para responder a las solicitudes?

En GDPREl plazo es de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse dos meses más para solicitudes complejas o numerosas, siempre que se informe al titular de los datos personales durante el primer mes. Otras jurisdicciones pueden establecer plazos diferentes. Independientemente del mínimo legal, las organizaciones deben documentar sus tiempos de respuesta objetivo y realizar un seguimiento de su desempeño en relación con ellos. El cumplimiento constante de plazos internos más cortos demuestra una sólida capacidad operativa ante los auditores.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.