Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.5.3: Países y organizaciones internacionales para la transferencia de información de identificación personal

El control A.1.5.3 exige que las organizaciones especifiquen y documenten los países y organizaciones internacionales a los que se pueden transferir datos personales. Esta obligación de transparencia es fundamental para la rendición de cuentas en los flujos de datos transfronterizos.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.5.3?

La organización deberá especificar y documentar los países y organizaciones internacionales a los que se puede transferir información personal identificable.

Este control se encuentra dentro del transferencia de información personal identificable objetivo (A.1.5) en el Controles del controlador PII. Donde A.1.5.2 Base para la transferencia de información personal identificable A.1.5.3 trata sobre el mecanismo legal, mientras que se centra en documentar exactamente dónde puede terminar la información de identificación personal (PII).

Nuestro Guía para la transferencia transfronteriza de datos Proporciona orientación integral sobre la implementación de medidas de seguridad para la transferencia de datos según la norma ISO 27701:2025.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.5.3) proporciona la siguiente orientación:

  • Mantener un registro de todos los países y organizaciones internacionales a los que se puede transferir información personal identificable.
  • Tenga en cuenta el grado de adecuación de cada jurisdicción de destino al determinar si las transferencias son permisibles.
  • Poner a disposición de los titulares de datos de identificación personal la información sobre los destinos de transferencia, ya sea directamente o a través de documentación de privacidad publicada.
  • Mantenga el registro actualizado a medida que se agreguen nuevos destinos de transferencia o se eliminen los existentes.

En la práctica, esto significa que las organizaciones no pueden tratar las transferencias internacionales como una caja negra. Cada destino potencial debe ser visible, evaluado y documentado antes de que cualquier información personal se transfiera a él.

¿Cómo se relaciona esto con el RGPD?

El control A.1.5.3 se asigna a dos teclas Disposiciones del RGPD:

  • Artículo 15 (2) — El interesado tiene derecho a ser informado de los países a los que se transfieren sus datos personales y de las garantías adecuadas que existen.
  • Artículo 30, apartado 1, letra e) — Los registros de las actividades de procesamiento deben incluir las transferencias a terceros países u organizaciones internacionales, junto con la documentación de las salvaguardias adecuadas.

En GDPREsta información debe estar fácilmente disponible tanto para los interesados ​​como para las autoridades de supervisión que la soliciten.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control admite el ISO 29100, principio de ResponsabilidadMantener un registro documentado de los destinos de transferencia demuestra que la organización sabe adónde va la información personal identificable y que ha tomado medidas deliberadas para evaluar y aprobar cada destino.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.5.3, los auditores generalmente buscarán lo siguiente:

  • Registro del país — Una lista documentada y actualizada de todos los países y organizaciones internacionales a los que se puede transferir información de identificación personal.
  • Evaluaciones de adecuación — Evidencia de que se ha considerado y registrado el estado de adecuación de cada destino.
  • Avisos de privacidad — Publicación de documentación sobre privacidad que informa a los responsables del tratamiento de datos personales sobre los países donde se pueden procesar sus datos.
  • Cambiar registros — Evidencia de que el registro se actualiza cuando se agregan nuevos destinos, por ejemplo, cuando se contrata un nuevo proveedor de nube o subprocesador.
  • Alineación con los registros de transferencia — Que las transferencias reales (registradas en A.1.5.4 Transferencia de registros de información personal identificable) solo ir a destinos documentados

¿Cuáles son los controles relacionados?

Control Relación
A.1.5.2 Identificar la base para la transferencia de información personal identificable La base legal determina qué países son destinos permitidos.
A.1.5.4 Registros de transferencia de información personal identificable Los registros de transferencia reales deben coincidir con la lista de destinos aprobados.
A.1.5.5 Registros de divulgaciones de información personal identificable Las divulgaciones a terceros en otras jurisdicciones deben estar documentadas.
A.1.3.3 Información para los responsables de PII Determinación de la información para los titulares de información personal identificable (PII) Los destinos de transferencia forman parte de la información que debe proporcionarse a las personas.
A.1.2.9 Registros del procesamiento de información personal identificable El registro de destino se integra en los registros de procesamiento generales.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.5.2 (países y organizaciones internacionales a los que se puede transferir la información de identificación personal). El contenido no ha cambiado, pero la reestructuración de 2025 proporciona un vínculo más claro entre la declaración de control (A.1.5.3) y la guía de implementación (B.1.5.3). El énfasis en poner la información de destino a disposición de los titulares de la información de identificación personal sigue siendo un requisito fundamental. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para rastrear los destinos de transferencia de información personal identificable?

SGSI.online Te proporciona las herramientas para mantener un registro claro y auditable de adónde va la información de identificación personal (PII):

  • Registro de destino de transferencia — Mantener una lista centralizada de países y organizaciones aprobados con su estado de adecuación y fechas de revisión.
  • Seguimiento de subprocesadores — Vincular cada procesador de terceros con los países donde opera, con alerta automática cuando se introduzca un nuevo destino.
  • Integración del aviso de privacidad — Mantenga la documentación de privacidad alineada con la lista de destinos aprobados mediante registros vinculados.
  • Revisar flujos de trabajo — Configure revisiones programadas para cada destino y reciba alertas cuando cambien las decisiones de adecuación o los marcos legales.
  • Pruebas de auditoría — Exportar el registro completo de destinos con el historial de cambios para auditorías de certificación y consultas regulatorias.

Preguntas Frecuentes

¿Es necesario enumerar todos los países en los que opera un proveedor de servicios en la nube?

Sí, si la información personal identificable (PII) pudiera almacenarse o consultarse desde esas ubicaciones. Los proveedores de servicios en la nube suelen procesar datos en varias regiones y pueden tener personal de soporte en países distintos de donde se alojan los datos. Debe colaborar con sus proveedores para obtener una lista definitiva de todos los países donde se pueda procesar, almacenar o consultar la PII, e incluirlos todos en su registro.

¿Qué ocurre si la lista de países cambia con frecuencia?

El registro debe ser un documento vivo. Cree un proceso para actualizarlo cada vez que se proponga un nuevo destino de transferencia, por ejemplo, a través de flujos de trabajo de adquisición o incorporación de proveedores. Cada cambio debe evaluarse en función de la base de transferencia documentada en A.1.5.2 Base para la transferencia de información personal identificabley los avisos de privacidad deben actualizarse para reflejar la situación actual.

¿Esto se aplica a las transferencias dentro de la UE/EEE?

Según el RGPD, las transferencias dentro de la UE/EEE no se consideran transferencias internacionales y no requieren un mecanismo de transferencia específico. Sin embargo, la norma ISO 27701 adopta un enfoque más amplio e independiente de la jurisdicción. Se recomienda documentar todos los países donde se procesan datos personales, incluso dentro del EEE, ya que otras leyes aplicables (por ejemplo, la legislación nacional de transposición) pueden tener requisitos adicionales.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de transferencia específica que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.