¿Qué requiere el control A.1.4.6?
La organización deberá eliminar la información de identificación personal (IIP) o transformarla en un formato que no permita la identificación o reidentificación de los titulares de la IIP, tan pronto como la IIP original ya no sea necesaria para los fines identificados.
Este control se encuentra dentro del minimización de PII objetivo (A.1.4) y representa la obligación de fin de ciclo de vida. Una vez que se ha cumplido el propósito de recopilar y procesar la información de identificación personal y no existe ningún requisito legal de retención, los datos no deben persistir en forma identificable. Este control funciona en conjunto con A.1.4.8 (retención) y A.1.4.9 (eliminación) para garantizar que la información de identificación personal no quede obsoleta.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.4.6) proporciona la siguiente orientación:
- Definir desencadenantes para la acción — Identificar los eventos que deberían desencadenar la anonimización o eliminación, entre ellos: finalidad cumplida, consentimiento retirado, período de retención expirado o solicitud del titular de la información personal identificable.
- Garantizar una sólida anonimización — Cuando se opta por la anonimización en lugar de la eliminación, los métodos utilizados deben ser resistentes a la reidentificación. La simple eliminación de nombres puede no ser suficiente si otros puntos de datos permiten la identificación mediante combinación.
- Documentar el proceso — Los procedimientos de anonimización y eliminación deben estar documentados, incluyendo los métodos utilizados, los desencadenantes aplicados y los pasos de verificación.
- Verificar la efectividad — Tras la anonimización o eliminación, la organización debe verificar que la acción fue efectiva y que la información de identificación personal no puede recuperarse ni volver a identificarse.
- Referencia ISO/IEC 20889 — La guía hace referencia específica a la norma ISO/IEC 20889 (Técnicas de anonimización de datos para mejorar la privacidad) como fuente de métodos de anonimización.
- Vea también A.1.4.3: Limitar el procesamiento para requisitos relacionados
- Vea también A.1.4.4: Precisión y calidad para requisitos relacionados
Las dos opciones (eliminación o anonimización) brindan flexibilidad a las organizaciones. Cuando los datos subyacentes tienen valor analítico, pero ya no es necesario identificar a las personas, la anonimización permite su uso continuado. Cuando ya no existe ninguna utilidad, la eliminación es la opción más limpia.
¿Cómo se relaciona esto con el RGPD?
El control A.1.4.6 se asigna a varios GDPR provisiones:
- Artículo 5, apartado 1, letra c) — Principio de minimización de datos
- Artículo 5, apartado 1, letra e) — Limitación de almacenamiento: los datos deben conservarse en forma identificable solo durante el tiempo necesario.
- Artículo 6, apartado 4, letra e) — Considera la existencia de salvaguardias adecuadas, que pueden incluir cifrado o seudonimización, al evaluar la compatibilidad del procesamiento posterior.
- Artículo 11 (1) — Cuando las finalidades ya no requieran identificación, el responsable del tratamiento no está obligado a conservar datos de identificación.
- Artículo 32 (1) (a) — Pseudonimización y cifrado como medidas técnicas apropiadas
Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite dos ISO 29100, principios:
- Minimización de datos — La anonimización reduce la información de identificación personal a la forma mínima identificable necesaria.
- Limitación del uso, la retención y la divulgación — La eliminación o anonimización al final del procesamiento impone directamente límites de retención.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.4.6, los auditores generalmente buscarán lo siguiente:
- Procedimientos de desidentificación y eliminación — Procedimientos documentados que especifiquen los métodos utilizados, quién es el responsable y cómo se verifica la eficacia.
- Definiciones de disparadores — Documentación clara de qué eventos desencadenan la anonimización o eliminación para cada categoría de información de identificación personal (PII).
- Registros de ejecución — Registros o documentación que demuestren que las actividades de anonimización y eliminación se han llevado a cabo según lo previsto.
- Pruebas de eficacia — Evidencia de que la anonimización se ha probado para comprobar su resistencia a la reidentificación, en particular para conjuntos de datos de mayor riesgo.
- Documentación de métodos técnicos — Descripción de las técnicas específicas de anonimización utilizadas (k-anonimato, privacidad diferencial, tokenización, etc.) y las razones de su selección.
- Manejo de excepciones — Documentación de cualquier caso en el que se haya conservado información personal identificable más allá de su finalidad original, con su justificación (por ejemplo, retención legal, requisito reglamentario de conservación).
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.4.5 Objetivos de minimización de la información personal identificable | La desidentificación es un mecanismo clave dentro de la estrategia de minimización. |
| A.1.4.8 Retención | Los periodos de retención definen cuándo se debe activar la anonimización o la eliminación. |
| A.1.4.9 Eliminación | Los procedimientos de eliminación complementan los procedimientos de borrado para los medios físicos. |
| A.1.4.7 Archivos temporales | Los archivos temporales que contienen información de identificación personal también deben ser eliminados. |
| A.1.4.2 Recopilación de límites | Menos recolección significa menos datos que requieran tratamiento al final de la vida. |
| A.1.2.2 Identificar y documentar el propósito | La documentación sobre la finalidad define cuándo la información de identificación personal (PII) “ya no es necesaria”. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, la anonimización y la eliminación se abordaron en la cláusula 7.4.5 (Anonimización y eliminación de PII al final del procesamiento). El control de 2025 es sustancialmente el mismo, con las mismas dos opciones (eliminar o anonimizar). La guía de implementación ahora incluye una referencia más explícita a ISO/IEC 20889 para técnicas de anonimización y pone mayor énfasis en verificar la efectividad de la anonimización. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar la anonimización y eliminación de información de identificación personal?
SGSI.online Proporciona las herramientas para gestionar las obligaciones de fin de ciclo de vida que los auditores examinan detenidamente:
- Gestión de activadores de retención — Definir desencadenantes para la anonimización y eliminación vinculados a los fines del procesamiento, con alertas automatizadas cuando se alcancen dichos desencadenantes.
- Registros de eliminación y anonimización — Registre cada acción de anonimización y eliminación con marcas de tiempo, métodos utilizados y resultados de la verificación.
- Documentación técnica — Documentar los métodos de anonimización aplicados a cada categoría de datos, con la justificación de la selección de la técnica.
- Seguimiento de excepciones — Registrar y justificar cualquier caso en el que se conserve información de identificación personal más allá de su propósito original, asegurándose de que las retenciones legales y los requisitos reglamentarios estén debidamente documentados.
- Informes de cumplimiento — Generar informes de fin de ciclo de vida que demuestren que se están cumpliendo las obligaciones de anonimización y eliminación en todas las categorías de información de identificación personal (PII).
Preguntas Frecuentes
¿Cuándo conviene optar por la anonimización en lugar de la eliminación?
La anonimización es apropiada cuando los datos subyacentes tienen valor para fines secundarios (como análisis estadísticos, investigación o informes de tendencias), pero ya no es necesario identificar a las personas. La eliminación es apropiada cuando los datos ya no tienen utilidad. La decisión debe documentarse y el método de anonimización debe ser lo suficientemente robusto como para evitar la reidentificación, especialmente dada la sensibilidad de los datos.
¿Cómo se verifica que la anonimización sea efectiva?
La verificación implica comprobar si el conjunto de datos anonimizados puede vincularse a personas utilizando los propios datos o combinándolos con otras fuentes de datos disponibles. Las técnicas incluyen pruebas de intrusión motivada, evaluación de k-anonimato y análisis de si los cuasi-identificadores (como la fecha de nacimiento combinada con el código postal) podrían permitir la reidentificación. La norma ISO/IEC 20889 ofrece una guía detallada sobre las técnicas de anonimización y su evaluación.
¿Qué ocurre con la información de identificación personal (PII) en las copias de seguridad después de que se eliminen los datos originales?
La información personal identificable (PII) en las copias de seguridad sigue estando dentro del alcance de la normativa. Las organizaciones deben contar con una estrategia para gestionar la PII en las copias de seguridad, que puede incluir: cifrar las copias de seguridad para que no se pueda acceder a los datos eliminados, incluso si persisten; aplicar políticas de retención a los ciclos de copias de seguridad para que se sobrescriban las copias antiguas; o aceptar y documentar el riesgo residual de la PII en las copias de seguridad con los controles de acceso adecuados. El enfoque elegido debe estar documentado y ser justificable.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las evidencias específicas que los auditores esperan en cuanto a la calidad de los datos y los controles de minimización.
Registre este control en su Declaración de aplicabilidad con su justificación de su aplicabilidad.
