¿Qué requiere el control A.1.5.2?
La organización deberá identificar y documentar la base pertinente para las transferencias de información de identificación personal entre jurisdicciones.
Este control se encuentra dentro del transferencia de información personal identificable objetivo (A.1.5), que garantiza que las organizaciones cuenten con mecanismos robustos para gestionar el movimiento transfronterizo de datos personales. Es uno de los controles finales específicos del responsable del tratamiento en anexo A y sirve de base para todos los demás controles de transferencia del grupo.
Nuestro Guía para la transferencia transfronteriza de datos Proporciona orientación integral sobre la implementación de medidas de seguridad para la transferencia de datos según la norma ISO 27701:2025.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.5.2) proporciona la siguiente orientación:
- Identificar los mecanismos legales disponibles para las transferencias internacionales, tales como decisiones de adecuación, cláusulas contractuales estándar, normas corporativas vinculantes, consentimiento explícito o excepciones legales.
- Documentar la base específica utilizada para cada transferencia de información personal identificable entre jurisdicciones.
- Revise la documentación pertinente siempre que cambien los marcos legales, por ejemplo, cuando se revoque una decisión de adecuación o entre en vigor una nueva legislación.
- Cuando existan varios mecanismos disponibles, seleccione y justifique el más apropiado en función de la naturaleza, el volumen y la sensibilidad de la información personal que se transfiere.
Las directrices dejan claro que confiar simplemente en un mecanismo general probablemente no sea suficiente. Cada flujo de transferencia debe evaluarse individualmente, y la base elegida debe ser justificable tanto para los reguladores como para los auditores.
¿Cómo se relaciona esto con el RGPD?
El control A.1.5.2 se corresponde con un bloque sustancial de Disposiciones del RGPD:
- Artículo 44 — Principio general para las transferencias internacionales (transferencias solo con las salvaguardias adecuadas)
- Artículo 45(1–9) — Transferencias basadas en una decisión de adecuación
- Artículo 46(1–5) — Transferencias sujetas a las salvaguardias apropiadas (Cláusulas de Contrato de Servicios, Normas Corporativas Vinculantes, códigos de conducta)
- Artículo 47(1–3) — Normas corporativas vinculantes
- Artículo 48 — Transferencias no autorizadas por el Derecho de la Unión
- Artículo 49(1–6) — Excepciones para situaciones específicas (consentimiento explícito, necesidad contractual, interés público)
- Artículo 30, apartado 1, letra e) — Los registros de procesamiento deben incluir las transferencias a terceros países.
- Artículo 15 (2) — El derecho de acceso incluye información sobre transferencias internacionales y medidas de seguridad.
La amplitud de este mapeo refleja la importancia de los mecanismos de transferencia para GDPR Cumplimiento. Las organizaciones que operan bajo ambos marcos normativos comprobarán que cumplir con el apartado A.1.5.2 contribuye en gran medida a cumplir con el Capítulo V del RGPD.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite dos ISO 29100, Principios de privacidad:
- Responsabilidad — Documentar la base legal de cada transferencia demuestra la rendición de cuentas respecto a los flujos de datos transfronterizos.
- Limitación del uso, la retención y la divulgación — La documentación sobre la base de la transferencia garantiza que la información de identificación personal solo se divulgue a través de las fronteras cuando exista una razón justificada y documentada para hacerlo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.5.2, los auditores generalmente buscarán lo siguiente:
- Registro del mecanismo de transferencia — Una lista documentada de todas las transferencias transfronterizas de información personal identificable (PII) con el mecanismo legal correspondiente.
- Registros de debida diligencia — Pruebas de que la organización evaluó la adecuación de la protección en la jurisdicción receptora.
- Acuerdos de transferencia ejecutados — Copias de cláusulas contractuales estándar, BCR o instrumentos equivalentes
- Revisar registros — Evidencia de revisiones periódicas, especialmente tras cambios en los marcos jurídicos (por ejemplo, la retirada de decisiones de adecuación).
- Evaluaciones del impacto de la transferencia — Cuando sea necesario, evaluaciones documentadas de los riesgos asociados con transferencias específicas.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.5.3 Países y organizaciones internacionales para la transferencia de información personal identificable | Especifica dónde se puede transferir la información de identificación personal (PII); la base identificada en A.1.5.2 determina qué destinos están permitidos. |
| A.1.5.4 Registros de transferencia de información personal identificable | Registra cada transferencia real, basándose en lo documentado aquí. |
| A.1.5.5 Registros de divulgaciones de información personal identificable a terceros | Registros de divulgación más amplios que incluyan transferencias transfronterizas |
| A.1.2.9 Registros del procesamiento de información personal identificable | La base de transferencia se incorpora a los registros generales de las actividades de procesamiento. |
| A.1.3.3 Información para los responsables de PII Determinación de la información para los titulares de información personal identificable (PII) | Los titulares de PII tienen derecho a conocer la base de transferencia y las salvaguardias establecidas. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.5.1 (identificar la base para la transferencia de PII entre jurisdicciones). El control de 2025 es sustancialmente el mismo, pero la reestructurada anexo AEl formato /B proporciona una separación más clara entre la declaración de control y la guía de implementación. La guía ahora hace mayor hincapié en la revisión de los mecanismos de transferencia cuando cambian los marcos legales, lo que refleja la turbulencia en el derecho internacional de transferencias desde 2019. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar las transferencias internacionales de información personal identificable?
SGSI.online Proporciona herramientas prácticas para documentar y gestionar los mecanismos de transferencia transfronteriza:
- Registro del mecanismo de transferencia — Mapear cada flujo de datos transfronterizo con su base legal, país receptor y salvaguardias en un registro centralizado.
- Recordatorios de revisión automatizados — Establezca fechas de revisión para los mecanismos de transferencia y reciba alertas cuando cambien los marcos legales o se deban realizar revisiones.
- Gestión de documentos — Almacenar los SCC firmados, los BCR y las evaluaciones de impacto de la transferencia junto con el registro de transferencia correspondiente.
- Paquetes de evidencia listos para auditoría — Exportar la documentación de transferencia con historial completo de versiones para auditorías de certificación.
- Referencias cruzadas — Vincular los registros de transferencia con las actividades de procesamiento, las evaluaciones de impacto en la privacidad y las solicitudes de derechos de los interesados.
- Mapeo regulatorio — Vea cómo sus controles de transferencia se alinean con el RGPD, la norma ISO 27701 y otros marcos, comparándolos uno al lado del otro.
Preguntas Frecuentes
¿Qué se considera una transferencia entre jurisdicciones?
Cualquier transferencia o divulgación de información personal identificable (IPI) de una jurisdicción a otra. Esto incluye enviar datos a un proveedor de servicios en la nube cuyos servidores se encuentren en otro país, compartir IPI con una empresa del mismo grupo en otra jurisdicción o permitir el acceso remoto desde otro país. Incluso si los datos no se transfieren físicamente, el acceso remoto desde otra jurisdicción puede constituir una transferencia según algunas leyes de privacidad.
¿Con qué frecuencia deben revisarse los mecanismos de transferencia?
A intervalos planificados (normalmente anuales) y siempre que se produzca un cambio significativo en el marco legal. Algunos ejemplos de factores desencadenantes incluyen una sentencia judicial que invalide un mecanismo de transferencia, la emisión o revocación de una nueva decisión de adecuación, o cambios en la legislación de protección de datos de la jurisdicción receptora. La organización también debe revisar la situación cuando la naturaleza o el volumen de la información personal transferida cambien sustancialmente.
¿Puede utilizarse el consentimiento como única base para las transferencias internacionales?
El consentimiento es uno de los mecanismos de transferencia reconocidos, pero según el RGPD se considera una excepción para situaciones específicas (artículo 49) y no un mecanismo principal. Debe ser explícito, informado y otorgado libremente. Por lo general, los reguladores esperan que las organizaciones recurran a mecanismos más sólidos, como las decisiones de adecuación o las cláusulas contractuales tipo, para las transferencias sistemáticas y continuas, reservando el consentimiento para las transferencias ocasionales o no repetitivas.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de transferencia específica que esperan los auditores.
