¿Qué requiere el control A.1.5.5?
La organización deberá registrar las divulgaciones de información personal identificable a terceros, incluyendo qué información personal identificable se ha divulgado, a quién y en qué momento.
Este es el control final en el transferencia de información personal identificable objetivo (A.1.5) dentro del Controles del controlador PII. Mientras A.1.5.4 Transferencia de registros de información personal identificable Si bien se centra en registrar las transferencias formales, el apartado A.1.5.5 amplía el alcance para abarcar todas las divulgaciones, incluidas aquellas que quedan fuera del marco típico de transferencias.
Nuestro Guía para la transferencia transfronteriza de datos Proporciona orientación integral sobre la implementación de medidas de seguridad para la transferencia de datos según la norma ISO 27701:2025.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.1.5.5) proporciona la siguiente orientación:
- Divulgaciones operativas normales Debe registrarse, por ejemplo, el intercambio de información de identificación personal con un procesador, un socio comercial o un proveedor de servicios como parte de las operaciones rutinarias.
- Divulgaciones adicionales También deben registrarse las actividades que se produzcan fuera de la normalidad, como las divulgaciones realizadas en respuesta a investigaciones legales, solicitudes de auditoría de las autoridades de supervisión u órdenes judiciales.
- Los registros deben incluir la fuente de la divulgación — la persona o el sistema que inició o autorizó la divulgación
- Los registros deben incluir la autoridad para hacer la divulgación — la base legal, la obligación contractual o la autorización interna que lo permitió
Es importante distinguir entre divulgaciones “normales” y “adicionales”. Muchas organizaciones registran el intercambio rutinario de datos, pero no las divulgaciones puntuales realizadas bajo presión, como las que se producen al responder a una solicitud de las fuerzas del orden. Ambas deben registrarse.
¿Cómo se relaciona esto con el RGPD?
El control A.1.5.5 se asigna a GDPR Artículo 30(1)(d), que exige que los registros de actividades de procesamiento incluyan las categorías de destinatarios a quienes se han divulgado o se divulgarán datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
Esto va más allá de simplemente enumerar las categorías de destinatarios. La combinación de A.1.5.4 Transferencia de registros de información personal identificable y A.1.5.5 garantiza que las organizaciones puedan demostrar, a un nivel detallado, exactamente qué se compartió con quién y cuándo.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el ISO 29100, principio de Limitación del uso, la retención y la divulgaciónRegistrar cada divulgación crea la base de evidencia para demostrar que la información de identificación personal solo se comparte cuando existe una razón documentada y justificada, y que las divulgaciones innecesarias o no autorizadas pueden identificarse e investigarse.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.1.5.5, los auditores generalmente buscarán lo siguiente:
- Registro de divulgación — Un registro estructurado de todas las divulgaciones de información de identificación personal (PII) que muestre la PII divulgada, el destinatario, la fecha/hora y la autorización para la divulgación.
- Registros de autorización — Pruebas de quién autorizó cada divulgación, en particular para divulgaciones no rutinarias como las solicitudes de las fuerzas del orden.
- Documentación del proceso — Procedimientos definidos para registrar las divulgaciones, incluyendo quién es responsable de mantener el registro.
- Cobertura de divulgaciones no rutinarias — Evidencia de que el proceso registra divulgaciones fuera de las operaciones normales, no solo el intercambio rutinario de datos.
- Coherencia con los registros de transferencia — Que los registros de divulgación se ajusten a los registros de transferencia mantenidos en A.1.5.4 Transferencia de registros de información personal identificable
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.1.5.4 Registros de transferencia de información personal identificable | Los registros de transferencias abarcan las transferencias formales; los registros de divulgación capturan el panorama general, incluidas las divulgaciones ad hoc. |
| A.1.5.2 Identificar la base para la transferencia de información personal identificable | La base jurídica para las transferencias también se aplica a las divulgaciones que implican flujos de datos transfronterizos. |
| A.1.5.3 Países para la transferencia de información personal identificable | Las divulgaciones a partes en otras jurisdicciones deben ajustarse a la lista de destinos aprobados. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de divulgación son un componente del conjunto de registros de actividades de procesamiento. |
| A.1.3.3 Información para los responsables de PII Determinación de la información para los titulares de información personal identificable (PII) | Es posible que sea necesario informar a los titulares de información personal identificable sobre la divulgación de sus datos. |
| A.1.3.8 Obligaciones de informar a terceros | Ciertas divulgaciones pueden generar obligaciones de notificación a los responsables de la información de identificación personal. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
En la edición de 2019, este requisito estaba cubierto por la Cláusula 7.5.4 (registros de divulgación de PII a terceros). La versión de 2025 mantiene los mismos requisitos básicos, pero la guía del Anexo B reestructurada ahora distingue más explícitamente entre divulgaciones operativas normales y divulgaciones adicionales (investigaciones legales, auditorías). El requisito de registrar la fuente y la autoridad para cada divulgación también recibe mayor prominencia. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para el seguimiento de las divulgaciones de información de identificación personal?
SGSI.online Esto facilita el mantenimiento de un registro de divulgación completo:
- Registro de divulgación — Registre cada divulgación de información personal identificable (PII) con campos estructurados para el destinatario, las categorías de PII, la fecha/hora, la fuente y la autorización.
- Flujo de trabajo para divulgaciones no rutinarias — Flujos de trabajo de aprobación integrados para solicitudes de las fuerzas del orden y otras divulgaciones excepcionales, lo que garantiza que se obtenga la autorización adecuada antes de compartir los datos.
- Registros vinculados — Vincule las entradas de divulgación con los acuerdos de procesamiento de datos pertinentes, los registros de transferencia y los perfiles de los principales responsables de la información de identificación personal.
- Registro de auditoría — Cada registro de divulgación incluye un historial completo de quién lo creó, modificó o revisó.
- Informes — Generar informes de divulgación por destinatario, período de tiempo, categoría de información personal identificable o tipo de autorización para revisión y auditorías de la gerencia.
Preguntas Frecuentes
¿Cuál es la diferencia entre una transferencia y una divulgación?
Una transferencia generalmente se refiere al movimiento sistemático de información personal identificable (IPI) de una jurisdicción u organización a otra bajo un acuerdo definido (por ejemplo, un acuerdo de procesamiento de datos). Una divulgación es más amplia e incluye cualquier intercambio de IPI con un tercero, ya sea rutinario o puntual. Todas las transferencias son divulgaciones, pero no todas las divulgaciones son transferencias. Por ejemplo, proporcionar IPI a una agencia de aplicación de la ley en respuesta a una orden judicial es una divulgación, pero puede no ser una transferencia en el sentido tradicional.
¿Cómo debemos gestionar las revelaciones a las fuerzas del orden?
Las divulgaciones a las fuerzas del orden deben seguir un procedimiento definido. Registre la solicitud recibida, la autoridad legal citada, quién en la organización autorizó la divulgación, qué información personal se compartió, cuándo y a qué autoridad. Si la solicitud es informal (por ejemplo, una solicitud verbal sin una orden judicial), documente el proceso de toma de decisiones y los fundamentos sobre los que se autorizó o denegó la divulgación.
¿Debemos notificar a los responsables de la información de identificación personal sobre las divulgaciones?
Depende de la jurisdicción y la naturaleza de la divulgación. Según GDPRLos interesados tienen derecho a conocer las categorías de destinatarios. Para divulgaciones específicas, puede ser necesaria la notificación según A.1.3.8 Obligaciones de informar a terceros (notificación de modificación, procesamiento o divulgación). Sin embargo, ciertas divulgaciones, en particular a las fuerzas del orden, pueden estar exentas de los requisitos de notificación cuando informar al titular de la información personal pudiera perjudicar la investigación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de transferencia específica que esperan los auditores.
