¿Qué requiere el control A.2.2.6?
La organización deberá proporcionar al cliente la información adecuada para que este pueda demostrar el cumplimiento de sus obligaciones.
Este control se encuentra dentro del Controles del procesador de PII anexo (A.2) y aborda un aspecto fundamental de la relación procesador-controlador: la capacidad del controlador para demostrar responsabilidad. Los controladores están obligados por ley (incluidos GDPR Artículo 5(2)) para demostrar el cumplimiento de los principios de protección de datos, pero no pueden hacerlo sin información de sus encargados del tratamiento sobre cómo se gestionan los datos personales. Este control garantiza que los encargados del tratamiento no se conviertan en una caja negra.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.2.6) proporciona la siguiente orientación:
- Soporte de auditoría — La información que necesita el cliente puede incluir si la organización permite y contribuye a las auditorías realizadas por el cliente o por otro auditor designado o acordado de otro modo por el cliente.
- Vea también A.2.2.3: Propósitos de la organización para requisitos relacionados
- Vea también A.2.2.4: Uso en marketing y publicidad para requisitos relacionados
La guía destaca específicamente los derechos de auditoría como un mecanismo clave para demostrar el cumplimiento. Esto puede adoptar diversas formas: auditorías in situ realizadas por el cliente, auditorías de terceros solicitadas por el cliente, certificación conforme a normas reconocidas (como la ISO 27701) o la presentación de informes de auditoría, informes SOC 2 u otras pruebas de cumplimiento cuando se soliciten.
¿Cómo se relaciona esto con el RGPD?
El control A.2.2.6 se corresponde con lo siguiente: GDPR artículo:
- Artículo 28(3)(h) — El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor designado por este.
El artículo 28(3)(h) del RGPD establece esta obligación contractual obligatoria, exigiendo a los encargados del tratamiento que faciliten la información de cumplimiento y colaboren activamente en las auditorías de los responsables del tratamiento. Esto no es opcional, sino un requisito legal para los encargados del tratamiento que operan bajo el RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.2.6 como un control independiente con orientación de implementación en B.2.2.6 que destaca específicamente el soporte de auditoría como un componente clave. Consulte la Tabla de correspondencias del Anexo F para el mapeo completo.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.2.6, los auditores generalmente buscarán lo siguiente:
- capacidad de suministro de información — Pruebas de que la organización puede proporcionar a los clientes información relevante sobre el cumplimiento normativo cuando se la soliciten, como registros de procesamiento, documentación sobre medidas de seguridad y detalles de los subprocesadores.
- Mecanismos de apoyo a la auditoría — Un enfoque documentado para respaldar las auditorías de clientes, ya sea mediante visitas in situ, certificaciones de terceros, informes de auditoría compartidos o respuestas a cuestionarios.
- Informes de cumplimiento — Informes o paneles de control periódicos sobre el cumplimiento de las obligaciones contractuales y legales que se proporcionan a los clientes, demostrando así el cumplimiento continuo de dichas obligaciones.
- Terminos y condiciones — Cláusulas contractuales que definen el alcance, la frecuencia y el formato de la información de cumplimiento que se debe proporcionar.
- Registros de respuesta — Registros de las solicitudes de información sobre cumplimiento recibidas de los clientes y las respuestas proporcionadas.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.2 Acuerdo con el cliente | El contrato define qué información de cumplimiento debe proporcionar el procesador. |
| A.2.2.7 Registros de procesamiento | Los registros de procesamiento son una fuente clave de información de cumplimiento para los clientes. |
| A.3.15 Revisión independiente | Los resultados de auditorías independientes pueden compartirse con los clientes como prueba de cumplimiento. |
| A.3.14 Protección de registros | Los registros de cumplimiento deben mantenerse de forma segura y estar disponibles cuando sea necesario. |
| A.2.5.7 Revelación de subcontratistas | La información sobre los subcontratistas es un elemento clave para la transparencia en el cumplimiento normativo. |
¿A quién se aplica este control?
A.2.2.6 se aplica exclusivamente a Procesadores de información personal identificableReconoce que los responsables del tratamiento dependen de sus encargados del tratamiento para obtener la información necesaria para demostrar el cumplimiento. Sin esta información, el responsable del tratamiento no puede cumplir con sus obligaciones de rendición de cuentas. Los encargados del tratamiento que se niegan a proporcionar información sobre el cumplimiento o que se resisten a las solicitudes de auditoría imposibilitan que sus clientes cumplan con la legislación de protección de datos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Necesita asistencia para el cumplimiento normativo por parte del cliente?
SGSI.online Proporciona herramientas prácticas para ayudar a sus clientes a cumplir con sus obligaciones de cumplimiento normativo:
- Paquetes de evidencia de cumplimiento — Generar paquetes de evidencia predefinidos para los clientes que contengan registros de procesamiento, medidas de seguridad, estado de certificación y detalles del subprocesador.
- Gestión de auditoría — Gestiona las solicitudes de auditoría de clientes con programación, intercambio de documentos y seguimiento de búsquedas en un solo lugar.
- Gestión de certificaciones — Realice un seguimiento y comparta sus certificaciones ISO 27701, ISO 27001 y otras con los clientes como evidencia de cumplimiento.
- Gestión de cuestionarios — Responda de manera eficiente a los cuestionarios de seguridad y privacidad de los clientes con bibliotecas de respuestas predefinidas.
- Paneles de transparencia — Proporcione a sus clientes visibilidad sobre su nivel de cumplimiento normativo a través de paneles e informes compartidos.
Preguntas Frecuentes
¿Qué información deben poner los procesadores a disposición de los clientes?
Los encargados del tratamiento deben estar preparados para proporcionar: detalles de las actividades de tratamiento realizadas en nombre del cliente; medidas de seguridad implementadas; detalles y contratos de los subencargados del tratamiento; procedimientos de notificación de violaciones de seguridad; mecanismos de transferencia de datos; procedimientos de retención y eliminación de datos; registros de capacitación del personal; y los resultados de auditorías de seguridad o pruebas de penetración. La información específica requerida debe estar definida en el acuerdo de tratamiento de datos y debe ser suficiente para que el cliente demuestre el cumplimiento de sus propias obligaciones.
¿Puede un procesador cobrar por el soporte de auditoría?
Esto depende de los términos del contrato. El RGPD exige que el encargado del tratamiento permita y colabore en las auditorías, pero no prohíbe el cobro de tarifas razonables por el tiempo y los recursos invertidos. Muchos encargados del tratamiento incluyen un número determinado de días de auditoría o respuestas a cuestionarios al año en sus tarifas de servicio, con soporte adicional disponible a una tarifa acordada. Lo que los encargados del tratamiento no pueden hacer es rechazar u obstaculizar injustificadamente las solicitudes de auditoría. El procedimiento debe ser transparente y acordarse previamente en el contrato.
¿Pueden las certificaciones sustituir las auditorías de clientes?
Las certificaciones como ISO 27701 o los informes SOC 2 pueden reducir significativamente la necesidad de auditorías individuales a los clientes, al proporcionar una garantía independiente de cumplimiento. Muchos clientes aceptan las certificaciones vigentes como prueba suficiente. Sin embargo, las certificaciones no eliminan el derecho del cliente a la auditoría conforme al artículo 28(3)(h) del RGPD. El enfoque práctico consiste en ofrecer las certificaciones como mecanismo principal de evidencia, con la opción de realizar auditorías adicionales específicas para cada cliente cuando este las requiera.
Las organizaciones SaaS se enfrentan a desafíos de procesamiento únicos; consulte nuestra guía para plataformas SaaS.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la evidencia que los auditores esperan para los controles del procesador.
