¿Qué requiere el control A.1.3.8?
La organización deberá informar a los terceros con quienes se haya compartido información personal identificable (PII) sobre cualquier modificación, retirada u objeción relacionada con la PII compartida, e implementar políticas, procedimientos o mecanismos apropiados para ello.
Este control se encuentra dentro del Obligaciones con los responsables de PII Objetivo (A.1.3). Reconoce que los derechos del interesado solo son efectivos si se extienden más allá del responsable del tratamiento. Cuando corrige, borra o restringe la información personal identificable en sus propios sistemas, debe informar a los terceros que poseen copias de esos datos que hagan lo mismo.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.3.8) proporciona orientación sobre cómo establecer procedimientos eficaces de notificación a terceros:
- Seguimiento de la divulgación — Mantenga registros de qué terceros han recibido cada categoría de información personal identificable (PII). Sin esto, no podrá saber a quién se debe notificar cuando se ejerce un derecho.
- Desencadenantes de notificaciones — Establecer mecanismos claros para la notificación a terceros, incluyendo la corrección de información personal inexacta, la eliminación de información personal, la restricción del procesamiento y la revocación del consentimiento.
- Procedimientos de notificación — Documentar cómo se enviarán las notificaciones a terceros (correo electrónico, API, portal) y los plazos previstos.
- Confirmación de la acción — Siempre que sea posible, obtenga confirmación de terceros de que han actuado en consecuencia.
- Excepciones — Documente cualquier circunstancia en la que la notificación sea imposible o implique un esfuerzo desproporcionado, e informe al responsable de la información de identificación personal (PII) en consecuencia.
- Vea también A.1.3.2: Obligaciones con los responsables de PII para requisitos relacionados
- Vea también A.1.3.3: Determinación de la información para los responsables de la información personal identificable para requisitos relacionados
El desafío práctico de este control aumenta con el número de terceros y la complejidad de los acuerdos de intercambio de datos. Los sistemas de notificación automatizados y las obligaciones contractuales claras con los encargados del tratamiento y los destinatarios son esenciales para las organizaciones que comparten grandes cantidades de datos.
¿Cómo se relaciona esto con el RGPD?
El control A.1.3.8 se asigna directamente a GDPR Artículo 19:
- Artículo 19 — Obligación de notificación en relación con la rectificación o supresión de datos personales o la limitación de su tratamiento. El responsable del tratamiento comunicará cualquier rectificación, supresión o limitación a cada destinatario al que se hayan comunicado los datos, salvo que ello resulte imposible o suponga un esfuerzo desproporcionado.
- El artículo 19 también exige que el responsable del tratamiento informe al interesado sobre esos destinatarios si el interesado lo solicita.
Este es un aspecto que se pasa por alto con frecuencia. GDPR Obligación. Las autoridades de supervisión han observado que muchas organizaciones atienden las solicitudes de eliminación de datos en sus propios sistemas, pero no las comunican a los terceros que reciben los datos. Un proceso de notificación sólido es fundamental para un cumplimiento efectivo.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el Participación y acceso individual Principio de la norma ISO 29100. Este principio exige que las personas puedan impugnar la exactitud de sus datos y solicitar su modificación o eliminación. Para que este derecho sea efectivo, las modificaciones y eliminaciones deben aplicarse a todas las partes que poseen los datos, no solo al responsable del tratamiento original.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.3.8, los auditores generalmente buscarán lo siguiente:
- Registro de divulgación — Un registro mantenido de qué terceros han recibido información de identificación personal (PII), vinculado a las categorías de datos y a los titulares de la PII.
- Procedimientos de notificación — Procedimientos documentados sobre cómo y cuándo se notifica a terceros sobre correcciones, supresiones, restricciones y objeciones.
- Registros de notificaciones — Pruebas de que las notificaciones se han enviado realmente, con fechas, contenido y detalles del destinatario.
- Seguimiento de confirmaciones — Cuando se obtenga, confirmación de terceros de que han actuado en base a la notificación.
- Disposiciones contractuales — Acuerdos de procesamiento de datos o acuerdos de intercambio de datos que obliguen a terceros a actuar tras la notificación
- Documentación de excepciones — Cuando no fue posible la notificación, se deberá documentar el razonamiento y aportar pruebas de que el titular de la información de identificación personal fue informado.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.3.7 Acceso, corrección o supresión | Correcciones y borraduras realizadas bajo A.1.3.7 Acceso, corrección o supresión activar la obligación de notificación |
| A.1.3.5 Modificar o retirar el consentimiento | La revocación del consentimiento que afecta a la información personal compartida activa la notificación a terceros. |
| A.1.3.6 Oponerse al tratamiento de datos personales | Las objeciones aceptadas que afectan a la información personal compartida activan la notificación a terceros. |
| A.1.2.9 Registros relacionados con el procesamiento de información personal identificable | Los registros de procesamiento deben documentar a los destinatarios, lo que respalda el seguimiento de la divulgación necesario en este caso. |
| A.1.5.2 Base para la transferencia de información personal identificable Transferencias entre países y organizaciones internacionales | Los registros de transferencias internacionales ayudan a identificar a terceros destinatarios en otras jurisdicciones. |
| A.1.3.10 Gestión de solicitudes | La notificación a terceros debe integrarse en el flujo de trabajo de gestión de solicitudes. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito formaba parte de la Cláusula 7.3.7 (Obligaciones de los controladores de informar a terceros). La edición de 2025 mantiene la obligación principal en A.1.3.8 con orientación en B.1.3.8. El énfasis en mantener registros de divulgación y contar con procedimientos de notificación documentados sigue siendo fundamental. El formato reestructurado proporciona un punto de control de auditoría más claro para esta obligación específica. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de notificaciones de terceros?
SGSI.online Le ayuda a realizar un seguimiento de las divulgaciones y a transferir de forma eficiente los derechos de los interesados a terceros:
- Registro de divulgación de terceros — Registre cada divulgación de información personal identificable a terceros con fechas, categorías y propósitos, para que siempre sepa a quién se debe notificar.
- Flujos de trabajo de notificación automatizados — Cuando se realice una corrección, eliminación o restricción, genere automáticamente tareas de notificación para cada tercero afectado.
- Seguimiento de confirmaciones — Registrar cuándo terceros reconocen y actúan en función de las notificaciones, creando una cadena de evidencia completa desde la solicitud hasta la resolución.
- Vinculación contractual — Vincular las relaciones con terceros a acuerdos de procesamiento de datos que incluyan obligaciones de notificación, garantizando así el respaldo contractual de los procedimientos operativos.
- Registro de esfuerzo desproporcionado — Cuando la notificación no sea factible, documente el razonamiento en un formato estructurado que cumpla con los requisitos reglamentarios.
Preguntas Frecuentes
¿Cómo se realiza el seguimiento de qué terceros han recibido información personal identificable específica?
Esto requiere un registro de divulgación que documente cada vez que se comparte información personal identificable (IPI) con un tercero, incluyendo la fecha, la categoría de la IPI compartida, la identidad del destinatario y la finalidad. Para el intercambio masivo o continuo de datos (como con procesadores), el registro puede ser a nivel de categoría en lugar de a nivel de registro individual. La clave es que, cuando un titular de IPI ejerce un derecho, se puede identificar rápidamente a todos los terceros que poseen sus datos.
¿Qué se considera un “esfuerzo desproporcionado” en materia de notificación?
Esto se evalúa caso por caso. Entre los factores que se consideran se incluyen el número de destinatarios, el coste de la notificación, la antigüedad de los datos, su naturaleza y el posible impacto en el titular de la información personal identificable (IPI). Por ejemplo, notificar a un pequeño número de socios comerciales conocidos probablemente no sea desproporcionado. Intentar notificar a cientos de usuarios de internet desconocidos que accedieron a datos disponibles públicamente sí podría serlo. La organización debe documentar su razonamiento e informar al titular de la IPI si no se puede realizar la notificación.
¿Tiene el titular de la información personal identificable derecho a saber quiénes son los terceros?
Sí. Según el artículo 19 del RGPD, el responsable del tratamiento debe informar al interesado sobre los destinatarios si este lo solicita. Esto significa que debe estar preparado para proporcionar una lista de los terceros que hayan recibido la información personal del interesado. Esto refuerza aún más la importancia de mantener registros precisos de las divulgaciones. En su aviso de privacidad, ya debería incluir las categorías de destinatarios, pero es posible que deba proporcionar identidades específicas si así se le solicita.
Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.
Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.
