¿Qué requiere el control A.2.2.7?
La organización deberá determinar y mantener los registros necesarios para demostrar el cumplimiento de sus obligaciones (tal como se especifica en el contrato aplicable) para el tratamiento de la información de identificación personal (PII) realizado en nombre de un cliente.
Este control se encuentra dentro del Controles del procesador de PII anexo (A.2) y establece las propias obligaciones de mantenimiento de registros del procesador. Si bien A.2.2.6 Obligaciones del cliente A.2.2.7 exige que el procesador ayude a los clientes a demostrar el cumplimiento. Asimismo, exige que el procesador mantenga registros para su propia rendición de cuentas. Estos registros deben demostrar que el procesador ha cumplido con sus obligaciones contractuales y los requisitos legales aplicables.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.2.7) proporciona la siguiente orientación:
- Requisitos jurisdiccionales — Algunas jurisdicciones pueden exigir a la organización que registre información como:
- Categorías de procesamiento realizadas en nombre de cada cliente
- Transferencias a terceros países u organizaciones internacionales
- Descripción general de las medidas de seguridad técnicas y organizativas.
- Vea también A.2.2.2: Acuerdo con el cliente para requisitos relacionados
- Vea también A.2.2.4: Uso en marketing y publicidad para requisitos relacionados
La guía refleja directamente la GDPR El artículo 30(2) establece los requisitos relativos a los registros de las actividades de procesamiento. Si bien la norma ISO los considera requisitos jurisdiccionales, las organizaciones que operan bajo el RGPD los reconocerán como obligaciones obligatorias de mantenimiento de registros.
¿Cómo se relaciona esto con el RGPD?
El control A.2.2.7 se corresponde con lo siguiente: GDPR artículos:
- Artículo 30 (2) (a) — El nombre y los datos de contacto de cada encargado del tratamiento, de cada responsable del tratamiento en cuyo nombre actúa el encargado del tratamiento, y del representante y del responsable de protección de datos del responsable del tratamiento o del encargado del tratamiento.
- Artículo 30 (2) (b) — Las categorías de tratamiento realizadas en nombre de cada responsable del tratamiento
- Artículo 30 (3) — Los registros deberán constar por escrito, incluso en formato electrónico.
- Artículo 30 (4) — El procesador deberá poner el registro a disposición de la autoridad supervisora cuando esta lo solicite.
- Artículo 30 (5) — Exención para organizaciones con menos de 250 empleados, a menos que el procesamiento pueda generar un riesgo, no sea ocasional o incluya categorías especiales de datos.
El artículo 30(2) del RGPD establece una lista mínima específica sobre lo que deben contener los registros del encargado del tratamiento. Las organizaciones deben considerar esto como un mínimo, no como un máximo.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.2.7 como un control independiente con orientación de implementación en B.2.2.7 que enumera claramente los requisitos jurisdiccionales de mantenimiento de registros. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.2.7, los auditores generalmente buscarán lo siguiente:
- Registros de actividades de procesamiento — Un registro mantenido de las actividades de tratamiento realizadas en nombre de cada cliente, incluidas las categorías de tratamiento, los tipos de datos y las finalidades.
- Registros de transferencia — Documentación de cualquier transferencia de información personal identificable a terceros países u organizaciones internacionales, incluyendo la base legal para cada transferencia.
- Documentación sobre medidas de seguridad — Descripción general de las medidas de seguridad técnicas y organizativas vigentes para el tratamiento de datos personales.
- Los datos de contacto — Mantuvo registros de los datos de contacto del procesador, el controlador, el representante y el DPO para cada acuerdo de procesamiento.
- proceso de mantenimiento de registros — Un proceso documentado para mantener los registros actualizados, incluyendo cronogramas de revisión y activadores de actualización.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.6 Obligaciones del cliente | Los registros de procesamiento respaldan la información proporcionada a los clientes para su cumplimiento. |
| A.2.2.3 Fines de la organización | Los registros deben demostrar que el procesamiento se ajusta a los propósitos documentados del cliente. |
| A.1.2.9 Registros (controlador) | El equivalente del lado del controlador a los requisitos de registro de procesamiento |
| A.3.14 Protección de registros | Los registros de procesamiento deben almacenarse de forma segura y protegidos contra modificaciones no autorizadas. |
| A.2.5.2 Base para la transferencia de información personal identificable | Los registros de transferencias transfronterizas son un componente clave del procesamiento de registros. |
¿A quién se aplica este control?
A.2.2.7 se aplica exclusivamente a Procesadores de información personal identificable. Crea una obligación independiente de mantenimiento de registros para los procesadores, separada de los propios requisitos de mantenimiento de registros del responsable del tratamiento. A.1.2.9 Registros del procesamiento de información personal identificableEn virtud del RGPD, la exención para pequeñas empresas prevista en el artículo 30(5) rara vez se aplica en la práctica, ya que la mayoría del tratamiento de datos no es realmente «ocasional» y muchos encargados del tratamiento manejan categorías especiales de datos. Por lo tanto, los encargados del tratamiento deben mantener registros independientemente del tamaño de la organización.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para el procesamiento de la gestión de registros?
SGSI.online Proporciona herramientas prácticas para mantener registros de las actividades de procesamiento:
- Registro de procesamiento — Mantener un registro centralizado y estructurado de todas las actividades de procesamiento por cliente, con categorías, tipos de datos, propósitos y medidas de seguridad documentadas.
- Seguimiento de transferencias — Registrar y supervisar las transferencias transfronterizas de información personal identificable (PII) con documentación de base legal y seguimiento del país de destino.
- Recordatorios automatizados — Programe revisiones periódicas de los registros con recordatorios automatizados para garantizar que los registros se mantengan actualizados y precisos.
- Preparación de la autoridad supervisora — Generar registros en un formato adecuado para las solicitudes de la autoridad de control, cumpliendo con las obligaciones del artículo 30(4) del RGPD.
- Historial de versiones — Mantener un historial completo de versiones de los registros de procesamiento, que muestre cómo han cambiado los acuerdos de procesamiento a lo largo del tiempo.
Preguntas Frecuentes
¿Qué deben contener los registros del procesador?
Según el artículo 30(2) del RGPD, los registros de los encargados del tratamiento deben contener: el nombre y los datos de contacto de cada encargado del tratamiento y de cada responsable del tratamiento para el que actúa, así como de sus representantes y delegados de protección de datos (DPD) cuando proceda; las categorías de tratamiento realizadas en nombre de cada responsable del tratamiento; las transferencias a terceros países u organizaciones internacionales, incluida la base jurídica; y una descripción general de las medidas de seguridad técnicas y organizativas. Las buenas prácticas recomiendan incluir también los tipos de información personal identificable (IPI) tratada, la base jurídica para el tratamiento, los datos de los subencargados del tratamiento y los periodos de conservación.
¿Con qué frecuencia deben actualizarse los registros?
Los registros deben actualizarse siempre que se produzca un cambio sustancial en los procedimientos de tratamiento, como la incorporación de un nuevo cliente, un cambio en las categorías de tratamiento, un nuevo subprocesador, una nueva transferencia transfronteriza o un cambio en las medidas de seguridad. Además, los registros deben revisarse periódicamente (al menos una vez al año) para verificar que sigan siendo precisos y completos. Muchas organizaciones integran la actualización de registros en sus procesos de gestión de cambios para garantizar que las actualizaciones se realicen en tiempo real.
¿Las empresas procesadoras con menos de 250 empleados necesitan mantener registros?
El artículo 30(5) del RGPD prevé una exención limitada para organizaciones con menos de 250 empleados, pero solo se aplica si el tratamiento no supone un riesgo para los interesados, es ocasional y no incluye categorías especiales de datos ni datos relativos a delitos. En la práctica, la mayoría de los responsables del tratamiento quedan fuera de esta exención, ya que su tratamiento es regular (no ocasional) y puede implicar tipos de datos que activan la excepción. La norma ISO 27701 no incluye una exención similar, por lo que todos los responsables del tratamiento que busquen la certificación deben mantener registros, independientemente de su tamaño.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría Para obtener la lista completa de registros que los auditores esperan de los procesadores.
