¿Qué requiere el control A.2.2.3?
La organización deberá garantizar que la información personal identificable (PII) procesada en nombre de un cliente se procese únicamente para los fines expresados en las instrucciones documentadas del cliente.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) establece la obligación fundamental del encargado del tratamiento: la limitación de la finalidad. El encargado del tratamiento existe para ejecutar las instrucciones del responsable del tratamiento, no para perseguir sus propios objetivos con los datos. Cualquier tratamiento que exceda lo documentado e instruido por el cliente constituye una violación de este control y, potencialmente, una infracción de la legislación de protección de datos.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.2.3) proporciona la siguiente orientación:
- Documentar el objetivo del servicio y el plazo — El contrato entre la organización y el cliente debe incluir, entre otros aspectos, el objetivo y el plazo que se pretende alcanzar con el servicio.
- Permitir discreción técnica dentro de las instrucciones generales. — Puede haber razones técnicas por las que sea apropiado que la organización determine el método de procesamiento de la información de identificación personal (IIP), de acuerdo con las instrucciones generales del cliente, pero sin una instrucción expresa de este. Por ejemplo, asignar recursos de procesamiento específicos en función de ciertas características del titular de la IIP.
- Habilitar la verificación del cliente — La organización debe permitir al cliente verificar su cumplimiento con los principios de especificación de propósito y limitación.
- Extender a los subcontratistas — Esto también garantiza que la organización o cualquiera de sus subcontratistas no procesen información personal identificable (PII) para fines distintos a los expresados en las instrucciones documentadas del cliente.
- Vea también A.2.2.6: Obligaciones del cliente para requisitos relacionados
Las directrices establecen un equilibrio pragmático: los encargados del tratamiento pueden tomar decisiones técnicas sobre cómo procesar los datos de forma eficiente, pero no deben modificar la finalidad del tratamiento. El cliente debe poder verificar que se respeta este límite.
¿Cómo se relaciona esto con el RGPD?
El control A.2.2.3 se corresponde con lo siguiente: GDPR artículos:
- Artículo 5 (1) (a) — El principio de legalidad, equidad y transparencia
- Artículo 5 (1) (b) — El principio de limitación de la finalidad, que exige que los datos personales se recojan para fines específicos, explícitos y legítimos y no se traten posteriormente de forma incompatible con dichos fines.
- Artículo 28 (3) (a) — El encargado del tratamiento procesará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento.
- Artículo 29 — El encargado del tratamiento no procesará datos personales salvo siguiendo instrucciones del responsable del tratamiento.
- Artículo 32 (4) — Ninguna persona que actúe bajo la autoridad del encargado del tratamiento y que tenga acceso a datos personales podrá tratarlos salvo siguiendo instrucciones del responsable del tratamiento.
En GDPRUn procesador que procesa datos más allá de las instrucciones documentadas del cliente corre el riesgo de ser reclasificado como responsable del tratamiento de dichos datos, con todas las obligaciones legales que ello conlleva.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.2.3 como un control independiente con orientación de implementación en B.2.2.3 que aclara el límite entre la discreción técnica legítima y la expansión de propósito no autorizada. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.2.3, los auditores generalmente buscarán lo siguiente:
- Instrucciones documentadas para el cliente — Instrucciones claras y por escrito de cada cliente que especifiquen los fines para los que se puede procesar la información de identificación personal.
- Procesamiento de registros — Registros que demuestren que las actividades de procesamiento reales se ajustan a las instrucciones documentadas del cliente.
- Mecanismos de verificación — Evidencia de que los clientes pueden verificar el cumplimiento de la finalidad, como derechos de auditoría, capacidades de generación de informes o paneles de transparencia.
- Controles del subcontratista — Evidencia de que la obligación de limitación de la finalidad se extiende a todos los subcontratistas involucrados en el procesamiento de información de identificación personal.
- La formación del personal — Registros de capacitación que demuestren que el personal comprende que no debe procesar información de identificación personal más allá de los fines documentados del cliente.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.2 Acuerdo con el cliente | El contrato debe documentar los fines del procesamiento y las instrucciones. |
| A.2.2.4 Uso de marketing y publicidad | Una prohibición específica sobre el uso de información de identificación personal para marketing más allá de las instrucciones del cliente. |
| A.2.2.5 Instrucción infractora | El procesador debe marcar las instrucciones del cliente que puedan infringir la ley. |
| A.2.5.8 Contratación de subcontratistas | Los subcontratistas también deben estar sujetos a las limitaciones de propósito del cliente. |
| A.2.2.7 Registros de procesamiento | Los registros deben demostrar que el procesamiento se ajusta a los propósitos documentados. |
¿A quién se aplica este control?
A.2.2.3 se aplica exclusivamente a Procesadores de información personal identificableSe trata de la implementación por parte del procesador del principio de limitación de la finalidad. Los responsables del tratamiento definen las finalidades; los procesadores deben ceñirse estrictamente a esos límites. Cualquier tratamiento para fines propios de la organización (análisis, mejora de productos, entrenamiento de IA) sin la autorización explícita del cliente constituiría una violación de este control.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para cumplir con la limitación de propósito?
SGSI.online Proporciona herramientas prácticas para demostrar la limitación de propósito como procesador:
- Registro de procesamiento — Documentar y mantener un registro de las actividades de procesamiento por cliente, vinculado a sus instrucciones y propósitos documentados.
- Seguimiento de las instrucciones del cliente — Registre las instrucciones del cliente con control de versiones, asegurándose de poder demostrar qué instrucciones estaban vigentes en cualquier momento.
- Gestión de subcontratistas — Limitaciones de propósito de flujo a los subcontratistas con seguimiento de contratos y monitoreo de cumplimiento
- Soporte de auditoría — Proporcionar a los clientes paquetes de evidencia que demuestren el cumplimiento del propósito, respaldando sus derechos de verificación.
- Gestión de políticas — Publicar y distribuir políticas de limitación de propósito al personal con seguimiento de acuse de recibo
Preguntas Frecuentes
¿Puede un procesador utilizar información de identificación personal para sus propios análisis o para mejorar sus productos?
No sin la autorización explícita del cliente. Utilizar la información personal identificable del cliente para fines propios del procesador —como el entrenamiento de modelos de aprendizaje automático, la evaluación comparativa, la mejora de productos o el análisis— constituye un procesamiento que excede las instrucciones documentadas y viola el apartado A.2.2.3. Conforme al RGPD, un procesador que decide unilateralmente procesar datos para sus propios fines puede ser considerado responsable del tratamiento, heredando todas las obligaciones y la posible responsabilidad del responsable del tratamiento.
¿Cuál es el límite entre la discreción técnica y la ampliación de la finalidad?
La discreción técnica implica que el procesador puede decidir cómo lograr el objetivo del cliente de manera eficiente; por ejemplo, eligiendo qué servidores usar, cómo asignar los recursos de procesamiento o qué estrategia de almacenamiento en caché aplicar. La ampliación del propósito significa que el procesador utiliza los datos para un propósito no especificado por el cliente; por ejemplo, analizando patrones de información personal identificable para obtener información estratégica para su propio negocio. La clave está en determinar si el procesamiento sirve al propósito documentado del cliente o a los intereses del procesador.
¿Cómo se deben comunicar al personal las limitaciones de propósito?
Todo el personal con acceso a la información personal identificable (IPI) de los clientes debe comprender que solo puede procesarla para los fines documentados en las instrucciones del cliente. Esto debe abordarse en la capacitación inicial, reforzarse en sesiones de concientización periódicas y reflejarse en los controles de acceso basados en roles. Los controles técnicos también deben limitar el uso de la información siempre que sea posible; por ejemplo, restringiendo la exportación de datos, impidiendo las descargas masivas y registrando todos los accesos con fines de auditoría.
Las organizaciones SaaS se enfrentan a desafíos de procesamiento únicos; consulte nuestra guía para plataformas SaaS.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la evidencia que los auditores esperan para los controles del procesador.
