¿Qué requiere el control A.1.5.4?
La organización deberá registrar las transferencias de información personal identificable (PII) hacia o desde terceros y garantizar la cooperación con dichas partes para respaldar futuras solicitudes relacionadas con las obligaciones para con los titulares de la PII.
Este control se encuentra dentro del transferencia de información personal identificable objetivo (A.1.5) en el Controles del controlador PII. Mientras A.1.5.2 Base para la transferencia de información personal identificable identifica la base legal y A.1.5.3 Países para la transferencia de información personal identificable A.1.5.4 documenta los destinos y crea el registro operativo de lo que realmente se movió.
Nuestro Guía para la transferencia transfronteriza de datos Proporciona orientación integral sobre la implementación de medidas de seguridad para la transferencia de datos según la norma ISO 27701:2025.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.5.4) proporciona la siguiente guía sobre lo que deben contener los registros de transferencia:
- ¿Qué información personal identificable (PII) se transfirió? — Las categorías y el volumen de información personal identificable (PII) incluidos en cada transferencia
- A quien — La identidad de la parte receptora, incluyendo su función (controlador, encargado del tratamiento, subencargado del tratamiento).
- Al — La fecha y, en su caso, la hora de la transferencia
- Base legal — La base documentada bajo la cual se realizó la transferencia
- Disposiciones de cooperación — Acuerdos para garantizar que la parte receptora pueda cooperar en las solicitudes del titular de la información de identificación personal, como el acceso, la rectificación o la supresión.
Los registros deben conservarse durante el período de retención definido en la política de retención de datos de la organización. La guía subraya que las disposiciones de cooperación no son opcionales; son fundamentales para el cumplimiento de las obligaciones continuas con los titulares de información personal identificable cuyos datos han sido transferidos.
¿Cómo se relaciona esto con el RGPD?
El control A.1.5.4 se asigna a GDPR Artículo 30(1)(e), que exige que los registros de las actividades de procesamiento incluyan información sobre las transferencias a terceros países u organizaciones internacionales, incluida la identificación del destinatario y, cuando proceda, la documentación de las garantías adecuadas.
El elemento de cooperación se alinea con el enfoque más amplio. GDPR Requisito para los responsables del tratamiento de datos de facilitar el ejercicio de los derechos de los interesados (artículos 12 a 22), incluso cuando la información personal se haya compartido con terceros.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el ISO 29100, principio de ResponsabilidadMantener registros detallados de las transferencias demuestra que la organización puede dar cuenta de adónde ha ido la información personal identificable y puede rastrearla a lo largo de la cadena de procesamiento cuando surgen preguntas.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.5.4, los auditores generalmente buscarán lo siguiente:
- Registro de transferencia — Un registro cronológico de las transferencias de información personal identificable que muestre qué se transfirió, a quién, cuándo y bajo qué base legal.
- Acuerdos de cooperación — Disposiciones contractuales o acuerdos documentados que exigen a las partes receptoras cooperar en las solicitudes de información personal identificable.
- Acuerdos de procesamiento de datos — Se han celebrado acuerdos con terceros que incluyen cláusulas de cooperación en materia de derechos de los interesados.
- Evidencia de cooperación en la práctica — Registros que demuestren que la cooperación ha sido puesta a prueba, por ejemplo, cuando un titular de PII ejerció sus derechos y la parte receptora prestó asistencia.
- Cumplimiento de retención — Evidencia de que los registros de transferencia se conservan durante el período de retención definido.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.5.2 Identificar la base para la transferencia de información personal identificable | La base legal documentada en A.1.5.2 Base para la transferencia de información personal identificable se registra contra cada transferencia |
| A.1.5.3 Países para la transferencia de información personal identificable | Los traslados solo deben realizarse a destinos documentados y aprobados. |
| A.1.5.5 Registros de divulgaciones de información personal identificable | Los registros de divulgación complementan los registros de transferencia, cubriendo las divulgaciones que pueden no implicar una transferencia formal. |
| A.1.3.7 Acceso, corrección o supresión Acceso a la información de identificación personal | Las disposiciones de cooperación garantizan que los titulares de información personal puedan ejercer derechos de acceso a lo largo de toda la cadena de transferencia. |
| A.1.3.7 Acceso, corrección o supresión | La cooperación es esencial para garantizar que las partes receptoras puedan satisfacer las solicitudes de eliminación. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de transferencia forman parte de los registros más amplios de actividades de procesamiento. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.5.3 (registros de transferencia de PII). El requisito principal no ha cambiado, pero la guía de 2025 proporciona detalles más explícitos sobre el contenido de los registros de transferencia y hace mayor hincapié en las disposiciones de cooperación con las partes receptoras. La reestructurada anexo AEl formato /B separa la instrucción de control de la guía de implementación detallada de forma más clara. Consulte el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para registrar las transferencias de información personal identificable?
SGSI.online Proporciona herramientas diseñadas específicamente para mantener registros de transferencias completos:
- Registro de transferencia — Registre cada transferencia de información personal identificable (PII) con campos estructurados para el destinatario, las categorías de PII, la fecha, la base legal y el estado de cooperación.
- Gestión de terceros — Vincular los registros de transferencia a los perfiles de proveedores con acuerdos de procesamiento de datos y cláusulas de cooperación adjuntas
- Seguimiento de solicitudes de los interesados — Cuando un titular de información personal ejerce sus derechos, se debe rastrear su información a través de la cadena de transferencia y coordinar con las partes receptoras.
- Gestión de retención — Marcar automáticamente los registros de transferencia que se acerquen a su límite de retención para su revisión o eliminación.
- Paneles de cumplimiento — Vea de un vistazo qué transferencias tienen documentación completa y cuáles necesitan atención.
Preguntas Frecuentes
¿Qué nivel de detalle se requiere en los registros de transferencia?
Los registros de transferencia deben ser lo suficientemente detallados para identificar las categorías específicas de información personal transferida, la parte receptora, la fecha y la base legal. No es necesario registrar cada campo de datos individualmente, pero las categorías deben ser significativas (por ejemplo, «datos de contacto y nómina de los empleados» en lugar de simplemente «datos personales»). El nivel de detalle debe permitir a la organización responder a las solicitudes de información personal y demostrar el cumplimiento normativo ante los auditores.
¿Cómo debe documentarse la cooperación con terceros?
Las cláusulas de cooperación deben incluirse en los acuerdos de procesamiento de datos o contratos equivalentes. Estas cláusulas deben especificar los tiempos de respuesta a las solicitudes de los titulares de datos personales, el proceso para reenviar dichas solicitudes, las responsabilidades para la asistencia en la eliminación o rectificación de datos y los procedimientos de escalamiento. Es recomendable probar periódicamente estos mecanismos de cooperación en lugar de esperar a que se presente una solicitud real para descubrir que no funcionan.
¿Se tienen en cuenta las transferencias internas entre empresas del grupo?
Sí, si las empresas del grupo son entidades jurídicas independientes. Cada entidad jurídica es un responsable o encargado del tratamiento distinto, por lo que las transferencias entre ellas se consideran transferencias a terceros a efectos de este control. Los acuerdos de intercambio de datos intragrupo deben incluir las mismas cláusulas de cooperación que los acuerdos externos, y las transferencias deben registrarse en el registro de transferencias.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de transferencia específica que esperan los auditores.
