¿Qué requiere el control A.1.4.2?
La organización deberá limitar la recopilación de información personal identificable al mínimo que sea pertinente, proporcional y necesario para los fines identificados.
Este control se encuentra dentro del minimización de PII objetivo (A.1.4), que garantiza que las organizaciones recopilen y procesen solo los datos personales que realmente necesitan. A.1.4.2 aborda específicamente el punto de recopilación, exigiendo a las organizaciones que evalúen críticamente cada campo de datos que recopilan en función de los fines que han documentado en A.1.2.2.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.4.2) proporciona la siguiente orientación:
- Definir y documentar las necesidades de datos — Para cada finalidad de procesamiento, la organización debe definir y documentar claramente qué información personal identificable (PII) se necesita, creando un vínculo directo entre la finalidad y los campos de datos.
- Revise periódicamente las prácticas de cobro. — Las prácticas de recolección no deben permanecer estáticas; deben revisarse a intervalos regulares para garantizar que sigan reflejando las necesidades reales de procesamiento.
- No recoja artículos "por si acaso". — La organización no debería recopilar información de identificación personal de forma especulativa basándose en que podría ser útil en el futuro.
- Considere alternativas — Antes de recopilar información de identificación personal (PII), considere si el propósito se puede lograr con menos PII o con datos anonimizados.
- Vea también A.1.4.4: Precisión y calidad para requisitos relacionados
- Vea también A.1.4.7: Archivos temporales para requisitos relacionados
En la práctica, esto significa que cada campo de formulario, cada punto de captura de datos y cada proceso de admisión deben estar justificados por un propósito documentado. Si un campo no puede vincularse a un propósito específico y documentado, no debe recopilarse.
¿Cómo se relaciona esto con el RGPD?
El control A.1.4.2 se asigna a dos teclas GDPR artículos:
- Artículo 5 (1) (b) — Limitación de la finalidad: los datos personales deben recopilarse para fines específicos, explícitos y legítimos.
- Artículo 5, apartado 1, letra c) — Minimización de datos: los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
Juntos, estos GDPR Los principios exigen que la recopilación de datos esté orientada a un propósito específico y sea mínima, que es precisamente lo que el apartado A.1.4.2 pone en práctica dentro del marco de la norma ISO 27701.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control apoya directamente el ISO 29100, principio de Limitación de colecciónEste principio establece que la recopilación de información personal identificable (IPI) debe limitarse a lo que esté permitido por la ley aplicable y sea estrictamente necesario para el propósito especificado. Se enfatiza que las organizaciones deben evaluar si la recopilación de IPI es realmente necesaria antes de implementarla.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.4.2, los auditores generalmente buscarán lo siguiente:
- Registros de justificación de la recopilación de datos — Documentación que demuestre que cada campo de información personal identificable (PII) recopilado se ha asignado a un propósito de procesamiento específico.
- Formularios y revisiones de admisión — Evidencia de revisiones periódicas de los formularios de recopilación de datos, formularios web y procesos de admisión para eliminar campos innecesarios.
- evaluaciones de minimización de datos — Registros de evaluaciones que consideran si los datos anonimizados o pseudonimizados podrían servir para ese propósito.
- Cambio de control — Evidencia de que los nuevos campos de recopilación de datos requieren aprobación y justificación antes de ser añadidos.
- Registros de entrenamiento — Evidencia de que el personal involucrado en el diseño de los procesos de recopilación de datos comprende los requisitos de minimización.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.2.2 Identificar y documentar el propósito | Los límites de la recaudación se derivan de propósitos documentados. |
| A.1.4.3 Limitar el procesamiento | Los límites de procesamiento complementan los límites de recopilación a lo largo de todo el ciclo de vida de los datos. |
| A.1.4.5 Objetivos de minimización de la información personal identificable | Define los mecanismos generales de minimización que respaldan la limitación de la colección. |
| A.1.4.6 Desidentificación y eliminación | Cuando la información personal identificable recopilada ya no sea necesaria, deberá ser anonimizada o eliminada. |
| A.1.2.4 Determinar el consentimiento | El consentimiento solo debe abarcar la información de identificación personal que sea realmente necesaria. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, la limitación de la recaudación se abordó en la Cláusula 7.4.1 (limitar la recaudación). El control de 2025 es sustancialmente el mismo en sus requisitos, pero la reestructurada anexo A y el formato del Anexo B proporciona una separación más clara entre la declaración de control normativo y su guía de implementación. El lenguaje en torno a la proporcionalidad se ha reforzado ligeramente. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar los límites de recopilación de información personal identificable?
SGSI.online Te brinda la estructura para hacer cumplir y demostrar la limitación de la recaudación en toda tu organización:
- Mapeo del inventario de datos — Asignar a cada campo de información personal identificable su propósito documentado, dejando claro de inmediato qué campos están justificados y cuáles son candidatos para su eliminación.
- Flujos de trabajo de revisión de colecciones — Programar revisiones periódicas de las prácticas de recopilación de datos con recordatorios automatizados y flujos de trabajo de aprobación.
- Seguimiento de solicitudes de cambio — Exigir justificación y aprobación antes de agregar nuevos campos de información personal identificable a cualquier proceso de recopilación.
- Vinculación de propósitos — Realice automáticamente referencias cruzadas de los puntos de recolección con su registro de propósito de procesamiento para identificar brechas o recolección excesiva.
- Registro de auditoría — Mantener un historial completo de las decisiones de cobro, revisiones y cambios para la evidencia del auditor.
Preguntas Frecuentes
¿Cómo se decide qué información personal identificable es "necesaria" para un propósito determinado?
Pregúntese si el objetivo del procesamiento puede cumplirse sin cada campo de datos. Si eliminar un campo no impide alcanzar el objetivo declarado, probablemente sea innecesario. Considere si el objetivo podría lograrse con datos menos específicos (por ejemplo, rango de edad en lugar de fecha de nacimiento) o con datos anonimizados. Documente la justificación de cada campo que conserve.
¿Los campos opcionales de los formularios aún pueden cumplir con este control?
Los campos opcionales no se consideran automáticamente incumplidores, pero sí requieren un análisis detallado. Cada campo opcional debe tener una finalidad documentada, y la organización debe poder explicar su razón de ser, incluso si no es obligatorio. Si un campo opcional no tiene una finalidad documentada, debe eliminarse, independientemente de si es obligatorio u opcional.
¿Con qué frecuencia deben revisarse las prácticas de cobro?
La norma no prescribe una frecuencia de revisión específica. Sin embargo, la mejor práctica consiste en revisar las prácticas de recopilación al menos anualmente como parte de la revisión de gestión de PIMS y, además, siempre que se introduzca una nueva finalidad de procesamiento, cambie una finalidad existente o se realice una evaluación de impacto en la protección de datos.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las evidencias específicas que los auditores esperan en cuanto a la calidad de los datos y los controles de minimización.
Registre este control en su Declaración de aplicabilidad con su justificación de su aplicabilidad.
