Ir al contenido
SGSI.online

ISO 27701:2025 Control A.2.2.2: Acuerdo con el cliente

El control A.2.2.2 exige que los encargados del tratamiento de datos personales garanticen que los contratos aborden su función en el cumplimiento de las obligaciones del cliente en materia de datos personales. Este control establece la base contractual para todas las actividades del encargado del tratamiento conforme a la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.2.2?

La organización deberá garantizar, cuando proceda, que el contrato para el tratamiento de datos personales refleje el papel de la organización a la hora de prestar asistencia al cliente en el cumplimiento de sus obligaciones (teniendo en cuenta la naturaleza del tratamiento y la información disponible para la organización).

Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) establece la base contractual para la relación entre el encargado del tratamiento y el responsable del tratamiento. Exige que los encargados del tratamiento vayan más allá del simple procesamiento de datos y presten asistencia activa a los responsables del tratamiento en el cumplimiento de sus obligaciones, como la notificación de violaciones de seguridad, los derechos de los interesados, las evaluaciones de impacto en la protección de datos (EIPD) y las medidas de seguridad. El contrato debe definir claramente estas obligaciones de asistencia.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.2.2) proporciona la siguiente guía sobre lo que debe incluir el contrato:

  • Privacidad desde el diseño y privacidad por defecto — El contrato debe abordar el papel del procesador en el apoyo a los principios de privacidad desde el diseño y privacidad por defecto.
  • Seguridad de procesamiento — El contrato debe especificar cómo el procesador ayudará a lograr medidas de seguridad adecuadas.
  • Notificación de la infracción a las autoridades de supervisión — El contrato debe definir las obligaciones del procesador de notificar al responsable del tratamiento sobre las violaciones que involucren información de identificación personal, lo que permitirá al responsable del tratamiento cumplir con sus obligaciones de notificación.
  • Notificación de violación de seguridad a clientes y responsables de información personal identificable. — El contrato debe especificar cómo el procesador ayudará al responsable del tratamiento a notificar a las personas afectadas.
  • Evaluaciones del impacto en la privacidad — El contrato debe incluir el papel del procesador en la realización o contribución a las evaluaciones de impacto sobre la protección de datos (EIPD).
  • Consulta previa — El contrato debe contemplar la asistencia en caso de que el responsable del tratamiento necesite consultar con las autoridades de protección de datos personales.
  • Vea también A.2.2.4: Uso en marketing y publicidad para requisitos relacionados
  • Vea también A.2.2.5: Instrucción infractora para requisitos relacionados

Algunas jurisdicciones exigen que el contrato incluya también el objeto y la duración del tratamiento, la naturaleza y la finalidad del mismo, el tipo de información personal identificable (PII) y las categorías de titulares de dicha información.

¿Cómo se relaciona esto con el RGPD?

El control A.2.2.2 se corresponde con lo siguiente: GDPR artículos:

  • Artículo 28, apartado 3, letra e) — El encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones relativas a la seguridad, la notificación de violaciones de seguridad, las evaluaciones de impacto en la protección de datos y la consulta previa.
  • Artículo 28(3)(f) — El encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones de seguridad, notificación de violaciones, evaluaciones de impacto sobre la protección de datos y consulta previa, teniendo en cuenta la naturaleza del tratamiento y la información disponible.
  • Artículo 28 (9) — El contrato debe constar por escrito, incluso en formato electrónico.
  • Artículo 35 (1) — Cuando el procesamiento pueda resultar en un alto riesgo, se requiere una DPIA y el procesador debe ayudar

GDPR El artículo 28 es la base jurídica principal de los contratos de procesamiento de datos, y el apartado A.2.2.2 proporciona una forma estructurada de garantizar que los contratos cumplan estos requisitos.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.2.2 como un control independiente con una guía de implementación más clara en B.2.2.2 que enumera explícitamente las seis áreas que debe cubrir el contrato. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.2.2, los auditores generalmente buscarán lo siguiente:

  • Acuerdos de procesamiento de datos — Contratos firmados con clientes que incluyan las seis áreas especificadas en la guía de implementación.
  • Plantillas de contrato — Plantillas o cláusulas contractuales estándar que la organización utiliza para garantizar la coherencia en todos los acuerdos con los clientes.
  • Capacidad de asistencia — Pruebas de que la organización tiene la capacidad operativa para prestar la asistencia descrita en el contrato (por ejemplo, procedimientos de notificación de incumplimientos, procesos de apoyo a la evaluación de impacto en la protección de datos).
  • Proceso de revisión de contratos — Un proceso documentado para revisar los contratos y garantizar que las obligaciones de protección de la información de identificación personal se aborden adecuadamente.
  • Cumplimiento jurisdiccional — Pruebas de que los contratos incluyen requisitos específicos de la jurisdicción cuando corresponda (por ejemplo, objeto, duración, tipos de información personal identificable).

¿Cuáles son los controles relacionados?

Control Relación
A.2.2.3 Fines de la organización El contrato define los fines para los que se puede procesar la información de identificación personal.
A.2.2.6 Obligaciones del cliente El procesador debe proporcionar información para ayudar al cliente a demostrar el cumplimiento.
A.1.2.7 Contratos con procesadores de información personal identificable El equivalente en el lado del controlador de los requisitos del contrato del procesador
A.3.11 Planificación de la gestión de incidentes Las obligaciones de asistencia en la notificación de violaciones dependen de la capacidad de gestión de incidentes.
A.2.5.8 Contratación de subcontratistas Los acuerdos con los subcontratistas deben ajustarse a los términos del contrato con el cliente.

¿A quién se aplica este control?

A.2.2.2 se aplica exclusivamente a Procesadores de información personal identificableEsto impone al encargado del tratamiento la obligación de garantizar que el contrato aborde adecuadamente su función de asistencia. Si bien el responsable del tratamiento suele redactar el acuerdo de tratamiento de datos, el encargado del tratamiento tiene la obligación independiente de verificar que el contrato cubra los aspectos requeridos e indicar cualquier deficiencia.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar los acuerdos con los procesadores?

SGSI.online Proporciona herramientas prácticas para gestionar los acuerdos con los clientes como procesador de información de identificación personal (PII):

  • Registro de contratos — Mantener un registro central de todos los acuerdos de procesamiento de datos con fechas de revisión, estado de cumplimiento y obligaciones vinculadas.
  • Plantillas de contrato — Utilice plantillas DPA predefinidas que incluyan las seis áreas especificadas en B.2.2.2, personalizables según los servicios de su organización.
  • Seguimiento de obligaciones — Realizar un seguimiento de las obligaciones de asistencia específicas en cada contrato de cliente con asignación de tareas y monitoreo del estado.
  • Revisar la programación — Programe revisiones periódicas de los contratos con recordatorios automatizados para garantizar que los acuerdos se mantengan actualizados.
  • Prueba de cumplimiento — Almacenar los acuerdos firmados, revisar los registros y las pruebas de capacidad en un formato estructurado y listo para auditoría.

Preguntas Frecuentes

¿Qué ocurre si el contrato del cliente no cubre todas las áreas requeridas?

El procesador tiene la obligación de garantizar que el contrato abarque su función de asistencia. Si el cliente proporciona un contrato incompleto, el procesador debe señalar las deficiencias y solicitar modificaciones. No basta con que el procesador firme un contrato incompleto; el apartado A.2.2.2 le obliga a verificar la cobertura. Si el cliente no está dispuesto a modificar el contrato, el procesador debe documentar la deficiencia y el riesgo, y considerar si es apropiado formalizar el acuerdo.

¿Es necesario un acuerdo de protección de datos independiente o pueden incluirse las cláusulas en el contrato de servicio principal?

Ambas opciones son aceptables. El requisito fundamental es que los términos de procesamiento de datos personales estén documentados por escrito (incluso en formato electrónico) y sean claramente identificables. Muchas organizaciones utilizan un acuerdo de procesamiento de datos independiente como anexo o apéndice del contrato de servicios principal, lo que facilita la revisión y actualización de los términos específicos de los datos personales sin necesidad de renegociar todo el contrato. El formato es menos importante que la exhaustividad y claridad de las obligaciones.

¿Cómo debería el procesador definir el alcance de sus obligaciones de asistencia?

El control especifica que la asistencia debe tener en cuenta «la naturaleza del tratamiento y la información disponible para la organización». Esto significa que las obligaciones de asistencia del encargado del tratamiento deben ser proporcionales a su función. Por ejemplo, un encargado del tratamiento que solo almacena datos cifrados puede tener una capacidad limitada para atender las solicitudes de acceso de los interesados. El contrato debe definir claramente el alcance y las limitaciones de la asistencia, evitando compromisos indefinidos que el encargado del tratamiento no pueda cumplir en la práctica.

Los equipos de compras requieren cada vez más la certificación ISO 27701; consulte nuestra guía de requisitos de adquisición y guía de evaluación de proveedores.

Las plataformas SaaS pueden encontrar orientación contractual personalizada en nuestra guía para plataformas SaaS.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.