¿Qué requiere el control A.2.2.5?
La organización informará al cliente si, en su opinión, una instrucción de procesamiento infringe los requisitos legales aplicables.
Este control se encuentra dentro del Controles del procesador de PII anexo (A.2) y crea una red de seguridad crítica. Si bien los procesadores generalmente actúan según las instrucciones del cliente (A.2.2.3 Fines de la organizaciónEste control reconoce que seguir ciegamente todas las instrucciones podría dar lugar a infracciones legales. Si un procesador identifica que una instrucción infringe la ley aplicable, tiene la obligación de comunicar la preocupación al cliente en lugar de simplemente cumplirla.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.2.5) proporciona la siguiente orientación:
- Capacidad dependiente del contexto — La capacidad de la organización para verificar si una instrucción infringe los requisitos legales puede depender del contexto tecnológico, de la instrucción en sí y del contrato entre la organización y el cliente.
- Vea también A.2.2.4: Uso en marketing y publicidad para requisitos relacionados
- Vea también A.2.2.7: Registros relacionados con el procesamiento de información de identificación personal para requisitos relacionados
La guía reconoce una realidad práctica: los procesadores no son asesores legales y su capacidad para identificar instrucciones infractoras varía. Un procesador con amplia experiencia en datos sanitarios puede estar en buena posición para identificar instrucciones que infrinjan la normativa sobre datos sanitarios, mientras que un proveedor de servicios en la nube de uso general podría no estarlo. La aclaración «en su opinión» reconoce esta limitación: la obligación es señalar las preocupaciones, no proporcionar un análisis jurídico definitivo.
¿Cómo se relaciona esto con el RGPD?
El control A.2.2.5 se corresponde con lo siguiente: GDPR artículo:
- Artículo 28(3)(h) — El procesador deberá informar inmediatamente al controlador si, en su opinión, una instrucción infringe la GDPR u otras disposiciones de protección de datos de la Unión o de los Estados miembros
El artículo 28, apartado 3, letra h), del RGPD establece una obligación legal explícita para los encargados del tratamiento que operan bajo la legislación de la UE. El RGPD añade la palabra «inmediatamente», subrayando la urgencia del requisito de notificación.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.2.5 como un control independiente con una guía de implementación concisa pero clara en B.2.2.5. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.2.5, los auditores generalmente buscarán lo siguiente:
- Procedimiento de escalada — Un procedimiento documentado para que el personal pueda expresar sus inquietudes cuando crea que una instrucción del cliente puede infringir los requisitos legales aplicables.
- Registros de notificaciones — Registros de cualquier ocasión en que el procesador haya informado a un cliente que una instrucción puede infringir la ley, incluyendo la instrucción en cuestión, la preocupación planteada, la respuesta del cliente y el resultado.
- Conciencia jurídica — Pruebas de que el personal clave tiene suficiente conocimiento de la legislación aplicable en materia de protección de datos para identificar instrucciones potencialmente infractoras.
- Terminos y condiciones — Cláusulas contractuales que establecen el derecho y la obligación del procesador de señalar las instrucciones infractoras, y que protegen al procesador de la responsabilidad por negarse a cumplir con instrucciones ilegales.
- Registros de entrenamiento — Capacitación que abarca la sensibilización del personal sobre la obligación de señalar instrucciones potencialmente ilegales
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.3 Fines de la organización | Las instrucciones que amplían los propósitos más allá de lo legal deben ser señaladas. |
| A.2.2.2 Acuerdo con el cliente | El contrato debe abordar la obligación del procesador de señalar las instrucciones infractoras. |
| A.3.13 Requisitos legales y reglamentarios | Comprender los requisitos legales aplicables es un requisito previo para identificar infracciones. |
| A.2.2.6 Obligaciones del cliente | Señalar las instrucciones infractoras ayuda al cliente a cumplir con sus propias obligaciones de cumplimiento. |
| A.3.17 Concienciación y formación | El personal necesita formación para reconocer instrucciones que puedan infringir las normas. |
¿A quién se aplica este control?
A.2.2.5 se aplica exclusivamente a Procesadores de información personal identificableEsta normativa obliga al procesador a alertar proactivamente sobre cualquier duda respecto a la legalidad de las instrucciones del cliente. Si bien esto no lo convierte en asesor legal, sí le exige que actúe con criterio y criterio, basándose en sus conocimientos y experiencia. El control se aplica a todas las instrucciones del cliente, ya sean dadas al inicio del contrato, durante la prestación del servicio o como solicitudes puntuales.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar las obligaciones de cumplimiento?
SGSI.online Proporciona herramientas prácticas para gestionar su obligación de denunciar las instrucciones infractoras:
- Flujos de trabajo de escalamiento — Crear procedimientos de escalamiento documentados para que el personal pueda plantear inquietudes sobre las instrucciones del cliente, con registro de auditoría y seguimiento de la resolución.
- Registro de notificaciones — Mantener un registro de todas las notificaciones enviadas a los clientes sobre instrucciones potencialmente infractoras, incluyendo la instrucción, la inquietud, la respuesta y el resultado.
- Seguimiento de requisitos legales — Realiza un seguimiento de los requisitos legales aplicables en todas las jurisdicciones, para que tu equipo sepa qué normas debe tener en cuenta al evaluar las instrucciones del cliente.
- Gestión de la formación — Impartir y realizar un seguimiento de la formación sobre cómo reconocer instrucciones infractoras, con evaluación de competencias.
- Gestión de contratos — Asegúrese de que sus plantillas de contrato incluyan cláusulas que aborden el derecho y la obligación de denunciar las instrucciones infractoras.
Preguntas Frecuentes
¿Qué debe hacer el procesador si el cliente insiste en la instrucción?
Si el cliente insiste en una instrucción que el procesador considera que infringe la ley aplicable, este último cumple con su obligación al informar al cliente. El procesador debe documentar la notificación y la respuesta del cliente. Sin embargo, no debe acatar la instrucción sin más: participar a sabiendas en un procesamiento ilícito podría acarrearle responsabilidades legales. En casos graves, el procesador podría necesitar asesoramiento legal y, en última instancia, verse obligado a rechazar la instrucción o rescindir el contrato, según la gravedad de la posible infracción.
¿Debe el procesador realizar un seguimiento proactivo para detectar infracciones?
El control exige que el procesador informe al cliente cuando, a su juicio, una instrucción infringe la ley. Esto implica un nivel razonable de conocimiento, más que una supervisión legal exhaustiva. La guía reconoce que la capacidad del procesador para verificar las infracciones depende del contexto, la instrucción y el contrato. No se espera que los procesadores realicen auditorías legales de todas las instrucciones, pero sí que señalen las inquietudes que surjan durante las operaciones comerciales habituales y su criterio profesional.
¿Con qué rapidez debe el procesador notificar al cliente?
La norma ISO 27701:2025 no especifica un plazo, pero el artículo 28(3)(h) del RGPD exige una notificación inmediata. La mejor práctica consiste en notificar al cliente en cuanto se detecte la preocupación, antes de ejecutar la instrucción. Esto permite al cliente reconsiderar la instrucción, buscar asesoramiento legal o solicitar aclaraciones antes de que se produzca cualquier tratamiento de datos que pudiera infringir sus derechos.
Las organizaciones SaaS se enfrentan a desafíos de procesamiento únicos; consulte nuestra guía para plataformas SaaS.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la evidencia que los auditores esperan para los controles del procesador.
