Ir al contenido
SGSI.online

Control A.1.3.9 de la norma ISO 27701:2025: Suministro de copia de la información de identificación personal procesada.

El control A.1.3.9 exige que las organizaciones puedan proporcionar una copia de la información personal identificable (IPI) que se procesa, cuando así lo solicite el titular de dicha información. Esto amplía el derecho de acceso a la portabilidad de los datos y a la entrega práctica de los mismos.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.3.9?

La organización deberá poder proporcionar una copia de la información personal identificable (PII) que se procesa, cuando así lo solicite el titular de dicha información.

Este control se encuentra dentro del Obligaciones con los responsables de PII objetivo (A.1.3). Mientras A.1.3.7 Acceso, corrección o supresión Si bien abarca el derecho de acceso en general, el apartado A.1.3.9 se centra específicamente en la entrega práctica de copias de información personal identificable e introduce requisitos de portabilidad de datos. Este control transforma el derecho de acceso abstracto en un resultado tangible.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.3.9) ofrece orientación sobre cómo atender eficazmente las solicitudes de copias y portabilidad:

  • Formato estructurado y legible por máquina. — Siempre que sea técnicamente factible, proporcione la información de identificación personal en un formato estructurado, de uso común y legible por máquina. Los formatos comunes incluyen CSV, JSON y XML.
  • Derecho a transmitir — Considere el derecho del titular de la información de identificación personal a transmitir datos directamente a otro responsable del tratamiento. Cuando sea técnicamente factible, proporcione un mecanismo para la transferencia directa entre responsables del tratamiento.
  • Primera copia gratuita — La primera copia se proporcionará de forma gratuita. Para copias adicionales, se podrá aplicar una tarifa razonable basada en los costos administrativos.
  • Entrega segura — Las copias deben entregarse de forma segura, utilizando canales cifrados o enlaces de descarga seguros, para evitar el acceso no autorizado durante la transmisión.
  • Alcance de los datos — Aclarar qué información personal identificable (PII) está incluida en las solicitudes de copia frente a las solicitudes de portabilidad. La portabilidad generalmente se aplica a la PII proporcionada por el individuo y procesada por medios automatizados sobre la base del consentimiento o contrato.
  • Vea también A.1.3.3: Determinación de la información para los responsables de la información personal identificable para requisitos relacionados
  • Vea también A.1.3.6: Oposición al procesamiento de información personal identificable para requisitos relacionados

Las directrices reconocen que el formato y el método de entrega deben ser prácticos tanto para la organización como para el responsable del tratamiento de datos personales. Cuando haya varios formatos disponibles, el responsable del tratamiento de datos personales deberá poder elegir el que prefiera.

¿Cómo se relaciona esto con el RGPD?

El control A.1.3.9 se asigna a GDPR Disposiciones que abarcan tanto las copias de acceso como la portabilidad de los datos:

  • Artículo 15 (3) — El responsable del tratamiento proporcionará una copia de los datos personales que se estén procesando. Para copias adicionales, el responsable del tratamiento podrá cobrar una tarifa razonable basada en los costos administrativos.
  • Artículo 15 (4) — El derecho a obtener una copia no afectará negativamente los derechos y libertades de los demás.
  • Artículo 20 (1) — Derecho a recibir datos personales en un formato estructurado, de uso común y legible por máquina (portabilidad de datos)
  • Artículo 20 (2) — Derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente factible.
  • Artículo 20 (3) — La portabilidad no crea una obligación de eliminar los datos del controlador original.
  • Artículo 20 (4) — La portabilidad no deberá afectar negativamente los derechos y libertades de los demás.

Cabe destacar la importante distinción: el artículo 15 (acceso a la copia) se aplica a todos los datos personales tratados por el responsable del tratamiento. El artículo 20 (portabilidad) se aplica únicamente a los datos facilitados por el interesado, tratados por medios automatizados, sobre la base del consentimiento o de un contrato.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el Participación y acceso individual Principio de la norma ISO 29100. El acceso carece de sentido si la persona no puede obtener una copia utilizable de sus datos. Este principio exige un acceso práctico y efectivo, y el apartado A.1.3.9 garantiza que dicho acceso se traduzca en un resultado útil que el titular de los datos personales pueda revisar, verificar y, en su caso, transferir a otro proveedor.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.3.9, los auditores generalmente buscarán lo siguiente:

  • Documentación de formato — Formatos documentados disponibles para proporcionar copias de información personal identificable (CSV, JSON, XML, PDF) con justificación para cada uno
  • Capacidad técnica — Evidencia de que los sistemas pueden extraer información de identificación personal (PII) a los formatos documentados sin necesidad de soluciones manuales que puedan provocar errores u omisiones.
  • Mecanismos de entrega seguros — Procedimientos documentados para la transmisión segura de copias de información personal identificable a los solicitantes (correo electrónico cifrado, portal seguro, transferencia de archivos cifrada).
  • Política de tarifas — Cuando se cobren tarifas por copias adicionales, se deberá establecer un cuadro de tarifas documentado y razonable basado en los costos administrativos.
  • Evaluación de portabilidad — Documentación que identifique qué información personal identificable (PII) está sujeta a requisitos de portabilidad (datos proporcionados por el individuo, procesados ​​automáticamente, con consentimiento o mediante contrato).
  • Ejemplos de solicitudes completadas — Ejemplos de solicitudes completadas que muestran los datos entregados, el formato utilizado y el método de entrega segura.

¿Cuáles son los controles relacionados?

Control Relación
A.1.3.7 Acceso, corrección o supresión A.1.3.7 Acceso, corrección o supresión Establece el derecho de acceso; A.1.3.9 especifica cómo entregar la copia.
A.1.3.10 Gestión de solicitudes Las solicitudes de copias se gestionan dentro del marco más amplio de gestión de solicitudes.
A.1.3.2 Obligaciones con los directivos de PII El derecho a una copia y la portabilidad se encuentran entre las obligaciones que deben identificarse.
A.1.3.4 Proporcionar información a los responsables de PII Los titulares de información personal deben ser informados de su derecho a obtener una copia de sus datos.
A.1.2.9 Registros relacionados con el procesamiento de información personal identificable El procesamiento de registros ayuda a identificar el alcance de los datos que se deben incluir en una respuesta a una solicitud de copia.
A.3 Controles de seguridad compartidos La entrega segura de copias de información personal identificable requiere medidas técnicas apropiadas.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, proporcionar una copia de PII estaba cubierto dentro de la Cláusula 7.3.8 (Proporcionar copia de PII procesado). La edición de 2025 le da a esto su propio número de control (A.1.3.9) con orientación específica en B.1.3.9. La separación del derecho de acceso más amplio en A.1.3.7 Acceso, corrección o supresión permite una auditoría más específica de las capacidades de entrega de datos. El énfasis en los formatos estructurados y legibles por máquina y la entrega segura sigue siendo fundamental. Consulte el Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Por qué elegir SGSI.online ¿Para gestionar las solicitudes de copia y portabilidad de información personal identificable?

SGSI.online Agiliza la entrega de copias de información de identificación personal (PII) manteniendo la seguridad y la auditabilidad:

  • Exportación multiformato — Generar copias de información personal identificable en formatos estructurados (CSV, JSON, PDF) a partir de su registro de datos, garantizando la legibilidad por máquina cuando sea necesario.
  • Portal de entrega segura — Proporcionar copias de la información de identificación personal a través de un enlace de descarga seguro y con tiempo limitado, eliminando el riesgo de enviar datos confidenciales por correo electrónico no cifrado.
  • Identificación del alcance — Utilice su sistema de mapeo de datos para identificar rápidamente qué datos entran dentro del alcance de una solicitud de copia frente a una solicitud de portabilidad, garantizando así respuestas precisas y completas.
  • Seguimiento de solicitudes — Registre cada solicitud de copia con el formato entregado, el método de entrega utilizado y la confirmación de recepción, creando así un registro de auditoría completo.
  • Gestión de tarifas — Cuando se apliquen cargos adicionales por copias, registre los cargos y proporcione al titular de la información personal identificable un desglose claro de los costos.

Preguntas Frecuentes

¿Cuál es la diferencia entre una copia de acceso y la portabilidad de datos?

Una copia de acceso (GDPR El artículo 15 abarca todos los datos personales que el responsable del tratamiento procesa sobre el interesado, independientemente de cómo se obtuvieron o del fundamento jurídico. La portabilidad de los datos (artículo 20) es más restrictiva: se aplica únicamente a los datos personales que el interesado ha facilitado, procesados ​​por medios automatizados, con base en el consentimiento o en un contrato. La portabilidad también incluye el derecho a transmitir los datos directamente a otro responsable del tratamiento. En la práctica, es posible que deba proporcionar diferentes conjuntos de datos según el derecho que se ejerza.

¿Qué formato debo utilizar para proporcionar copias de la información de identificación personal?

Para las copias de acceso, se acepta cualquier formato claro y legible, incluido el PDF. Para las solicitudes de portabilidad, los datos deben estar en un formato estructurado, de uso común y legible por máquina. CSV y JSON son las opciones más aceptadas. Siempre que sea posible, ofrezca al titular de los datos personales la posibilidad de elegir el formato. Este formato debe permitir que los datos se reutilicen o importen a otro sistema sin necesidad de herramientas especializadas.

¿Se puede cobrar por proporcionar una copia de la información de identificación personal?

La primera copia debe proporcionarse gratuitamente. Para copias adicionales de los mismos datos, puede cobrar una tarifa razonable basada en los costos administrativos. Dicha tarifa debe ser proporcional y estar debidamente documentada. No puede utilizar las tarifas como elemento disuasorio para impedir que las personas ejerzan sus derechos. Si cobra una tarifa, debe informar al titular de los datos personales sobre el monto antes de proceder.

Nuestro Guía de requisitos de evidencia de auditoría Detalla la documentación que los auditores esperan para los controles de derechos de los interesados.

Los DPO que gestionan estas obligaciones deben leer nuestra guía para los DPO para obtener una descripción completa.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.