¿Cuáles son los controles del procesador de información de identificación personal (PII) en la norma ISO 27701:2025?
Tabla A.2 de ISO 27701:2025 Anexo A Define 18 controles que se aplican a cualquier organización que actúe como procesador de información personal identificable (PII). Un procesador de PII procesa la PII en nombre de un controlador de PII y siguiendo sus instrucciones.
Estos controles se agrupan en cuatro objetivos:
- Condiciones para la recogida y el tratamiento (A.2.2) — 6 controles que abarcan acuerdos con clientes, limitaciones de propósito, restricciones de marketing y registros
- Obligaciones con los directivos de PII (A.2.3) — 1 control que abarca la asistencia de cumplimiento al cliente
- Privacidad desde el diseño y privacidad por defecto (A.2.4) — 3 controles que abarcan archivos temporales, devolución/eliminación de información de identificación personal y transmisión.
- Compartir, transferir y divulgar información personal identificable (A.2.5) — 8 controles que abarcan transferencias, divulgaciones y gestión de subcontratistas
Las directrices de implementación para cada control se encuentran en el Anexo B, sección B.2 (por ejemplo, directrices para A.2.2.2 Acuerdo con el Cliente está en B.2.2.2).
Lista completa de controles de la Tabla A.2
| Control | Título | Resumen |
|---|---|---|
| A.2.2.2 Acuerdo con el Cliente | Acuerdo con el cliente | Asegúrese de que los contratos aborden el papel del procesador en la asistencia con las obligaciones del cliente. |
| A.2.2.3 Fines de la organización | Propósitos de la organización | Solo se procesará la información de identificación personal (PII) para los fines indicados en las instrucciones documentadas del cliente. |
| A.2.2.4 Marketing y publicidad | Uso en marketing y publicidad | No utilice la información personal identificable (PII) recopilada para fines de marketing sin el consentimiento adecuado del titular de dicha información. |
| A.2.2.5 Instrucción infractora | Instrucción infractora | Informe al cliente si una instrucción de procesamiento infringe la ley aplicable. |
| A.2.2.6 Obligaciones del cliente | Obligaciones del cliente | Proporcione al cliente información para demostrar su cumplimiento. |
| A.2.2.7 Registros del procesamiento de información personal identificable | Registros relacionados con el procesamiento de información de identificación personal (PII) | Mantener registros que demuestren el cumplimiento de las obligaciones contractuales de PII. |
| A.2.3.2 Obligaciones con los directivos de PII | Cumplir con las obligaciones contraídas con los responsables de PII. | Proporcionar al cliente los medios para cumplir con las obligaciones principales de PII. |
| A.2.4.2 Archivos temporales | Archivos temporales | Elimine los archivos temporales del procesamiento de información de identificación personal dentro de un período documentado. |
| A.2.4.3 Devolución, transferencia o eliminación | Devolución, transferencia o eliminación de información personal identificable | Devuelva, transfiera o elimine de forma segura la información de identificación personal y ponga la póliza a disposición. |
| A.2.4.4 Controles de transmisión PII | Controles de transmisión PII | Información personal del sujeto transmitida a través de redes a los controles apropiados |
| A.2.5.2 Base para la transferencia de información personal identificable | Base para la transferencia de información personal identificable entre jurisdicciones | Informar al cliente de manera oportuna sobre la base para las transferencias internacionales de información personal identificable. |
| A.2.5.3 Países para la transferencia de información personal identificable | Países y organizaciones internacionales para la transferencia de información personal identificable | Especifique y documente los países y organizaciones a los que se puede transferir la información personal identificable (PII). |
| A.2.5.4 Registros de divulgaciones de información personal identificable | Registros de divulgaciones de información personal identificable a terceros | Registrar las divulgaciones de información personal identificable, incluyendo qué se divulgó, a quién y cuándo. |
| A.2.5.5 Solicitudes de divulgación de información personal identificable | Notificación de solicitudes de divulgación de información personal identificable | Notificar al cliente sobre cualquier solicitud de divulgación legalmente vinculante. |
| A.2.5.6 Divulgaciones legalmente vinculantes | Divulgaciones de información personal identificable legalmente vinculantes | Rechace las solicitudes no vinculantes y consulte al cliente antes de revelar información. |
| A.2.5.7 Revelación de subcontratistas | Divulgación de los subcontratistas utilizados para procesar información de identificación personal. | Informe al cliente si se utilizan subcontratistas antes de su uso. |
| A.2.5.8 Contratación de subcontratistas | Contratación de un subcontratista para procesar información de identificación personal (PII). | Contratar subcontratistas únicamente de acuerdo con el contrato del cliente. |
| A.2.5.9 Cambio de subcontratista | Cambio de subcontratista para procesar información personal identificable (PII). | Informar al cliente sobre los cambios previstos en los subcontratistas y permitirle presentar objeciones. |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo se relacionan los controles del procesador con el RGPD?
La tabla A.2 se corresponde principalmente con GDPR Artículo 28 (obligaciones del encargado del tratamiento) y artículo 30 (registros del tratamiento). Conexiones clave:
- A.2.2.2 Acuerdo con el Cliente–3 (Acuerdos y propósitos) → Art. 28(3)(a), Art. 29 — tratamiento bajo autoridad del responsable del tratamiento
- A.2.2.7 Registros del procesamiento de información personal identificable (Archivos) → Art. 30(2–5) — Registros del procesador sobre las actividades de procesamiento
- A.2.4.3 Devolución, transferencia o eliminación (Devolución/eliminación) → Art. 28(3)(g) — eliminación o devolución después de finalizado el servicio
- A.2.5.7 Revelación de subcontratistas–9 (Subcontratistas) → Art. 28(2–4) — autorización y modificaciones del subencargado del tratamiento
¿Qué otras cuestiones se aplican al procesamiento de información de identificación personal (PII)?
La Tabla A.2 no es el conjunto completo de requisitos para los procesadores de PII. También debe implementar los controles aplicables de Tabla A.3 (controles de seguridad compartidos), que abarca los fundamentos de la seguridad de la información, como el control de acceso, la gestión de incidentes, la criptografía y el registro de eventos.
¿Por qué elegir SGSI.online ¿Para el cumplimiento del procesador de PII?
SGSI.online Le ayuda a implementar y evidenciar cada control de la Tabla A.2:
- Gestión de contratos — Realizar un seguimiento de los acuerdos con los clientes, los fines del procesamiento y las obligaciones de cumplimiento.
- Registro de subcontratistas — Documentar a los subcontratistas, sus ubicaciones y el proceso de notificación al cliente.
- Registros de transferencia — Mantener un registro de transferencias internacionales con la documentación que las respalde legalmente.
- Registro de divulgación — Registre todas las divulgaciones de información personal identificable con detalles sobre qué, a quién y cuándo.
- Procedimientos de fin de servicio — Documentar y realizar el seguimiento de los procesos de devolución, transferencia o eliminación de información de identificación personal.
- Soporte de doble función — Si actúas como controlador y procesador, gestiona ambos Cuadro A.1 y A.2 en un lugar
Preguntas Frecuentes
¿Por qué solo hay 18 controles de procesador en comparación con los 31 controles de controlador?
Los encargados del tratamiento de datos personales actúan bajo las instrucciones del responsable del tratamiento, por lo que muchas decisiones en materia de privacidad (base jurídica, consentimiento, derechos del interesado) son responsabilidad de este último. Los controles del encargado del tratamiento se centran en el cumplimiento contractual, las restricciones al tratamiento, la gestión de subcontratistas y la gestión de la divulgación de información.
¿Puede una organización ser a la vez controladora y procesadora?
Sí. Muchas organizaciones actúan como responsables del tratamiento para algunas actividades de tratamiento y como encargados del tratamiento para otras. En este caso, ambas. Cuadro A.1 y la Tabla A.2 se aplican, con roles separados determinados para cada actividad de procesamiento. La cláusula 4.1 de la norma ISO 27701:2025 exige que determine su rol para cada instancia de procesamiento de información de identificación personal (PII).
¿También necesito la Tabla A.3 como procesador?
Sí. Tabla A.3 (controles de seguridad compartidos) Se aplica tanto a controladores como a procesadores. Como procesador, necesita tanto la Tabla A.2 (específica del procesador) como Cuadro A.3 controles (de seguridad compartida) en su declaración de aplicabilidad.
Las organizaciones SaaS encontrarán orientación personalizada sobre procesadores en nuestra guía para plataformas SaaS.
Vea cómo los equipos de compras utilizan la norma ISO 27701 para evaluar a los procesadores en nuestra guía de evaluación de proveedores y requisito de adquisición guía.
