¿Qué requiere el control A.2.2.4?
La organización no utilizará la información personal identificable (IPI) procesada en virtud de un contrato para fines de marketing y publicidad sin demostrar que se obtuvo el consentimiento previo del titular de dicha información. La organización no condicionará la prestación del servicio a la obtención de dicho consentimiento.
Este control se encuentra dentro del Controles del procesador de PII anexo (A.2) y crea una prohibición específica y absoluta: los procesadores no deben reutilizar la información personal identificable del cliente para sus propias actividades de marketing o publicidad. Esto va más allá de la limitación de propósito general en A.2.2.3 Fines de la organización Al nombrar explícitamente el marketing como un uso prohibido y añadir el requisito de no agrupar servicios, el consentimiento para el marketing no puede vincularse a la prestación del servicio.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.2.4) proporciona la siguiente orientación:
- Cumplimiento de documentos — El cumplimiento por parte de los procesadores de PII de los requisitos contractuales del cliente debe documentarse, especialmente cuando se planean actividades de marketing o publicidad.
- No se permite la inclusión forzada de marketing. — Las organizaciones no deben insistir en la inclusión de usos de marketing o publicidad cuando no se haya obtenido el consentimiento expreso de manera justa de los titulares de la información personal identificable.
- Vea también A.2.2.5: Instrucción infractora para requisitos relacionados
- Vea también A.2.2.6: Obligaciones del cliente para requisitos relacionados
La guía también señala que este control complementa el control de limitación de propósito más general en A.2.2.3 Fines de la organización y no lo reemplaza ni lo sustituye. Incluso si se obtiene el consentimiento para fines de marketing, el procesamiento debe cumplir con las instrucciones documentadas del cliente.
¿Cómo se relaciona esto con el RGPD?
El control A.2.2.4 se corresponde con lo siguiente: GDPR artículo:
- Artículo 7 (4) — Al evaluar si el consentimiento se otorga libremente, se tendrá en cuenta de manera primordial si la ejecución de un contrato está condicionada al consentimiento para el tratamiento de datos personales que no sean necesarios para la ejecución de dicho contrato.
El artículo 7(4) aborda directamente el problema de la “agrupación”: es improbable que el consentimiento para el marketing se otorgue libremente (y por lo tanto sea válido) si es una condición para recibir el servicio. Esto hace que el requisito de no agrupación en A.2.2.4 sea un GDPR Necesidad de cumplimiento, no solo buenas prácticas.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusula más amplia. La edición de 2025 proporciona A.2.2.4 como un control independiente con una guía de implementación más clara en B.2.2.4. La nota explícita de que este control complementa pero no reemplaza A.2.2.3 Fines de la organización es una aclaración útil. Ver el Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.2.4, los auditores generalmente buscarán lo siguiente:
- Política de uso para fines de marketing — Una política documentada que prohíba el uso de la información personal identificable del cliente para fines de marketing o publicidad sin consentimiento válido.
- Registros de consentimiento — Cuando se produzca un uso con fines de marketing, evidencia de que se obtuvo el consentimiento previo y libremente otorgado de los titulares de la información de identificación personal y que dicho consentimiento no se incluyó con el servicio.
- Terminos y condiciones — Pruebas de que los contratos de servicios no establecen el consentimiento para fines de marketing como condición para la prestación del servicio.
- Controles técnicos — Evidencia de que las medidas técnicas impiden el uso de información personal identificable de los clientes en sistemas de marketing sin la autorización correspondiente.
- La formación del personal — Registros de capacitación que demuestren que los equipos de marketing y ventas comprenden la prohibición de utilizar la información personal identificable del procesador para fines de marketing.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.3 Fines de la organización | El uso con fines de marketing es un caso específico de limitación de la finalidad: se aplican ambos controles. |
| A.2.2.2 Acuerdo con el cliente | Las restricciones de marketing deben estar explícitamente estipuladas en el contrato con el cliente. |
| A.1.2.4 Determinar el consentimiento | Requisitos del controlador para determinar cuándo se necesita el consentimiento |
| A.1.2.5 Obtener y registrar el consentimiento | El consentimiento para fines de marketing debe obtenerse y registrarse correctamente. |
| A.2.2.7 Registros de procesamiento | Los registros de consentimiento de marketing forman parte de los registros de procesamiento del procesador. |
¿A quién se aplica este control?
A.2.2.4 se aplica exclusivamente a Procesadores de información personal identificableProhíbe directamente a los procesadores utilizar la información de identificación personal (IIP) obtenida mediante contratos de servicios para sus propios fines de marketing. Esto es especialmente relevante para los proveedores de software como servicio (SaaS), servicios en la nube y proveedores de servicios gestionados, que podrían verse tentados a utilizar los datos de los clientes para la venta cruzada, el marketing de productos o la segmentación publicitaria.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión del cumplimiento normativo en marketing?
SGSI.online Proporciona herramientas prácticas para garantizar el cumplimiento de las normas de marketing como procesador:
- Gestión de políticas — Publicar y aplicar políticas de restricción de marketing con el consentimiento del personal y control de versiones.
- Seguimiento del consentimiento — Cuando se obtenga el consentimiento para fines de marketing, realice un seguimiento y gestione los registros de consentimiento con fechas de vencimiento y gestión de retiros.
- Mapeo del flujo de datos — Mapear los flujos de datos para identificar dónde la información personal identificable del cliente podría llegar potencialmente a los sistemas de marketing e implementar los controles adecuados.
- Monitoreo de cumplimiento — Supervisar el cumplimiento de las restricciones de marketing en todos los equipos y sistemas.
- Gestión de la formación — Impartir y realizar el seguimiento de la formación en cumplimiento normativo de marketing para el personal pertinente.
Preguntas Frecuentes
¿Puede un procesador incluir el consentimiento para fines de marketing en sus términos de servicio?
Un procesador puede solicitar el consentimiento para fines de marketing, pero no debe condicionar la prestación del servicio a dicho consentimiento. Esto significa que el servicio debe estar disponible en su totalidad sin necesidad de otorgar el consentimiento para marketing. La solicitud de consentimiento debe estar claramente separada de los términos del servicio, ser libre, específica y fácil de revocar. Las casillas de consentimiento premarcadas o los mecanismos de exclusión voluntaria no cumplen con los requisitos para un consentimiento previo válido.
¿Este control se aplica a los datos agregados o anonimizados?
Si los datos se han anonimizado de forma que ya no se pueda identificar a los titulares de la información personal identificable (directa o indirectamente), dejan de ser información personal identificable y quedan fuera del alcance de este control. Sin embargo, el umbral de anonimización es alto: los datos pseudonimizados o agregados a partir de los cuales se podría volver a identificar a las personas siguen siendo información personal identificable. Los responsables del tratamiento deben ser cautelosos al afirmar que los datos están anonimizados y deben contar con una metodología documentada para verificar la eficacia de la anonimización.
¿Cuáles son las consecuencias de violar este control?
El uso de la información personal identificable (IPI) del cliente para fines de marketing no autorizados podría acarrear: incumplimiento de contrato (lo que podría conllevar la rescisión y el pago de daños y perjuicios); reclasificación como responsable del tratamiento conforme al RGPD (con todas las obligaciones y responsabilidades propias de un responsable del tratamiento); medidas coercitivas por parte de la autoridad de control; y daños a la reputación. Conforme al RGPD, un encargado del tratamiento que determina sus propios fines de tratamiento (como el marketing) se considera responsable del tratamiento según el artículo 28, apartado 10.
Las organizaciones SaaS se enfrentan a desafíos de procesamiento únicos; consulte nuestra guía para plataformas SaaS.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la evidencia que los auditores esperan para los controles del procesador.
