¿Qué requiere el control A.2.3.2?
La organización deberá proporcionar al cliente los medios para cumplir con sus obligaciones relacionadas con los datos personales de los titulares.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda un desafío práctico fundamental: los responsables del tratamiento tienen obligaciones legales con los interesados (como responder a las solicitudes de acceso, corregir y eliminar datos), pero no pueden cumplirlas si sus encargados del tratamiento no les proporcionan las capacidades necesarias. El apartado A.2.3.2 impone al encargado del tratamiento la obligación de garantizar que se disponga de los medios técnicos y organizativos necesarios para garantizar los derechos de los interesados.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.3.2) proporciona la siguiente orientación:
- Las obligaciones están definidas por ley o contrato. — Las obligaciones de un responsable del tratamiento de datos personales pueden estar definidas por requisitos legales o por contrato. Estas obligaciones pueden incluir asuntos en los que el cliente utiliza los servicios de la organización para la implementación.
- Ejemplos prácticos — Por ejemplo, esto puede incluir la corrección o eliminación de información personal identificable de manera oportuna.
- Especificación contractual — Cuando un cliente dependa de la organización para obtener información o medidas técnicas que faciliten el cumplimiento de las obligaciones con los titulares de información personal identificable, la información o las medidas técnicas pertinentes deberán especificarse en un contrato.
- Vea también A.2.4.2: Archivos temporales para requisitos relacionados
- Vea también A.2.4.4: Controles de transmisión PII para requisitos relacionados
La guía deja claro que no se trata de una obligación abstracta: los encargados del tratamiento deben proporcionar capacidades concretas, como la posibilidad de recuperar, exportar, corregir y eliminar registros individuales de información personal identificable (PII) cuando se solicite. Estas capacidades deben definirse en el contrato para que ambas partes comprendan qué servicios proporcionará el encargado del tratamiento.
¿Cómo se relaciona esto con el RGPD?
El control A.2.3.2 se corresponde con lo siguiente: GDPR artículos:
- Artículo 15 (3) — El derecho de acceso, incluido el derecho a obtener una copia de los datos personales que se están tratando.
- Artículo 17 (2) — La obligación del responsable del tratamiento de informar a otros responsables del tratamiento que procesan los datos sobre la solicitud de supresión del interesado.
- Artículo 28, apartado 3, letra e) — El encargado del tratamiento asistirá al responsable del tratamiento para garantizar el cumplimiento de las obligaciones relativas a los derechos de los interesados (artículos 15 a 22).
GDPR El artículo 28, apartado 3, letra e), exige explícitamente a los encargados del tratamiento que presten asistencia a los responsables del tratamiento en el ejercicio de todos los derechos de los interesados: acceso (artículo 15), rectificación (artículo 16), supresión (artículo 17), limitación del tratamiento (artículo 18), portabilidad de los datos (artículo 20) y oposición (artículo 21). El encargado del tratamiento debe tener la capacidad de garantizar cada uno de estos derechos.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.3.2 como un control independiente con orientación de implementación en B.2.3.2 que incluye ejemplos prácticos y enfatiza la especificación contractual de las obligaciones del procesador. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.3.2, los auditores generalmente buscarán lo siguiente:
- capacidad de derechos del interesado — Pruebas de que los sistemas y procesos de la organización pueden respaldar todos los derechos pertinentes de los interesados: acceso, rectificación, supresión, restricción, portabilidad y oposición.
- Disposiciones contractuales — Cláusulas contractuales que especifican las medidas técnicas y organizativas que el procesador proporciona para respaldar el cumplimiento de los derechos del interesado.
- Procedimientos de gestión de solicitudes — Procedimientos documentados para la gestión de las solicitudes de derechos de los interesados presentadas por los clientes, incluidos los plazos de respuesta.
- Capacidad técnica — Evidencia de capacidades técnicas como funciones de exportación de datos, eliminación de registros individuales, herramientas de corrección de datos y registros de auditoría de los cambios realizados.
- Registros de respuesta — Registros de las solicitudes de derechos de los interesados recibidas de los clientes y las medidas adoptadas, que demuestren su cumplimiento oportuno y completo.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.2.2 Acuerdo con el cliente | El contrato debe especificar las obligaciones del procesador en cuanto al respeto de los derechos del interesado. |
| A.1.3.7 Acceso, corrección o supresión | Los derechos del lado del controlador que el procesador debe habilitar |
| A.1.3.10 Gestión de solicitudes | El proceso de gestión de solicitudes del controlador depende del soporte del procesador. |
| A.2.4.3 Devolución, transferencia o eliminación | Las capacidades de portabilidad y borrado de datos respaldan los derechos de los interesados. |
| A.2.2.6 Obligaciones del cliente | Respaldar los derechos de los interesados en los datos es una parte clave para ayudar a los clientes a demostrar el cumplimiento. |
¿A quién se aplica este control?
A.2.3.2 se aplica exclusivamente a Procesadores de información personal identificableReconoce que los responsables del tratamiento no pueden cumplir con sus obligaciones para con los interesados sin la cooperación del encargado del tratamiento. Si los sistemas de un encargado del tratamiento no permiten la recuperación, corrección o eliminación de registros individuales, el responsable del tratamiento no puede responder a las solicitudes de los interesados, lo que constituye un incumplimiento normativo para el responsable del tratamiento, pero un incumplimiento contractual y potencialmente legal para el encargado del tratamiento.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para respaldar los derechos del titular de la información de identificación personal?
SGSI.online Proporciona herramientas prácticas para respaldar los derechos de los interesados como encargado del tratamiento de datos:
- Gestión de solicitudes — Realizar el seguimiento y la gestión de las solicitudes de derechos de los interesados recibidas de los clientes mediante la gestión del flujo de trabajo, la asignación y el seguimiento de los plazos.
- Documentación de capacidades — Documenta tus capacidades en materia de derechos de los interesados por servicio o sistema, mostrando a los clientes exactamente lo que puedes admitir.
- Seguimiento de respuestas — Registrar las respuestas a cada solicitud con marcas de tiempo, acciones realizadas y evidencia, creando un registro de auditoría completo.
- Monitoreo de SLA — Supervisar los tiempos de respuesta en función de los acuerdos de nivel de servicio (SLA) contractuales, con alertas para las solicitudes que se acerquen a su fecha límite.
- Gestión de pruebas — Almacenar la evidencia del manejo de solicitudes en un formato estructurado para la preparación de auditorías y la presentación de informes al cliente.
Preguntas Frecuentes
¿Qué derechos de los interesados deben respetar los encargados del tratamiento de datos?
Según el RGPD, los encargados del tratamiento deben poder asistir a los responsables del tratamiento en lo siguiente: el derecho de acceso (recuperación y exportación de los datos personales); el derecho de rectificación (corrección de datos inexactos); el derecho de supresión (eliminación de los datos personales); el derecho a la limitación del tratamiento (marcado de datos para restringir su uso); el derecho a la portabilidad de los datos (suministro de datos en un formato estructurado y legible por máquina); y el derecho de oposición (cese del tratamiento de datos específicos). Los sistemas del encargado del tratamiento deben estar diseñados para dar soporte a todos estos derechos para los registros individuales.
¿Quién responde a los interesados: el responsable del tratamiento o el encargado del tratamiento?
El responsable del tratamiento es quien debe responder a los interesados. El encargado del tratamiento proporciona los medios para que el responsable del tratamiento pueda atender la solicitud. Si un interesado se pone en contacto directamente con el encargado del tratamiento, este deberá remitir la solicitud al responsable del tratamiento correspondiente (salvo que el contrato estipule lo contrario). El encargado del tratamiento no deberá comunicarse directamente con los interesados sobre sus derechos a menos que esté autorizado a hacerlo por el responsable del tratamiento.
¿Qué ocurre si el procesador no puede, técnicamente, satisfacer una solicitud?
Si los sistemas del procesador no pueden admitir un derecho particular del interesado (por ejemplo, la eliminación granular de registros individuales de los sistemas de respaldo), esta limitación debe divulgarse al cliente antes de celebrar el contrato. El contrato debe establecer claramente qué puede y qué no puede hacer el procesador, y qué soluciones alternativas están disponibles. Diseñar sistemas para admitir los derechos del interesado desde el principio (A.3.29 Arquitectura de sistema seguro) es significativamente más fácil y económico que incorporar esta capacidad posteriormente.
Nuestro Guía de requisitos de evidencia de auditoría Detalla lo que los procesadores deben demostrar en relación con las obligaciones de los interesados en los datos.
