Ir al contenido
SGSI.online

Control A.2.4.2 de la norma ISO 27701:2025: Archivos temporales

El control A.2.4.2 exige que las organizaciones garanticen la eliminación de los archivos temporales generados como resultado del procesamiento de información de identificación personal (IIP) siguiendo procedimientos documentados y dentro de un plazo específico y documentado. Esto evita la retención innecesaria de datos personales en elementos del sistema que a menudo se pasan por alto.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.4.2?

La organización deberá garantizar que los archivos temporales creados como resultado del procesamiento de información de identificación personal se eliminen (por ejemplo, se borren o se destruyan) siguiendo procedimientos documentados dentro de un período específico y documentado.

Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda un riesgo de privacidad que suele pasarse por alto: los archivos temporales. Los sistemas de información generan archivos temporales de forma rutinaria durante su funcionamiento normal, y estos archivos pueden contener información de identificación personal (IIP) que persiste mucho después de que se haya completado la tarea de procesamiento original. Sin procedimientos documentados para su eliminación, los archivos temporales se convierten en una fuente incontrolada de retención de datos personales.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.4.2) proporciona la siguiente orientación:

  • Verificación periódica — La organización debe verificar periódicamente que los archivos temporales no utilizados se eliminen dentro del período de tiempo establecido.
  • Tipos de archivos temporales — Los sistemas de información crean archivos temporales en su funcionamiento normal, incluidos los registros de reversión, los archivos temporales de la base de datos y los archivos temporales de la aplicación.
  • Retención después de completar la tarea — Los archivos temporales no son necesarios una vez finalizada la tarea, pero a veces no se pueden eliminar inmediatamente.
  • Recolección de basura — Un proceso de recolección de basura debe identificar los archivos temporales y registrar cuánto tiempo ha pasado desde el último uso de cada uno, lo que permite su eliminación sistemática.
  • Vea también A.2.3.2: Cumplir con las obligaciones con los responsables de PII para requisitos relacionados
  • Vea también A.2.4.4: Controles de transmisión PII para requisitos relacionados

Las directrices dejan claro que las organizaciones necesitan un enfoque sistemático para gestionar los archivos temporales. La limpieza puntual no es suficiente. Un mecanismo de recolección de basura debe escanear periódicamente los archivos temporales, determinar su antigüedad y eliminar aquellos que hayan superado el período de retención documentado.

¿Cómo se relaciona esto con el RGPD?

El control A.2.4.2 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 5(1)(c) — Minimización de datos — Los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. Conservar información personal identificable en archivos temporales más allá de lo necesario infringe directamente este principio.

El principio de minimización de datos exige que los datos personales no se conserven más tiempo del necesario. Los archivos temporales que contienen información de identificación personal (IIP) pero que no tienen una finalidad continua representan una clara infracción de este principio. Los mecanismos de eliminación automatizada garantizan su cumplimiento mediante la eliminación sistemática de estos archivos.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este control se correspondía con ISO 27018 A.5.1 e ISO 29151 A.7.2. La edición de 2025 consolida estas referencias en un control independiente A.2.4.2 con una guía de implementación específica en B.2.4.2. Los requisitos prácticos siguen siendo consistentes, pero la estructura de 2025 proporciona una guía más clara sobre los mecanismos de recolección de basura y la verificación periódica. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.4.2, los auditores generalmente buscarán lo siguiente:

  • Procedimientos de eliminación documentados — Procedimientos escritos que especifiquen cómo se identifican los archivos temporales, el período de retención documentado y el método de eliminación (borrado o destrucción).
  • Períodos de retención definidos — Un período de tiempo específico y documentado dentro del cual se deben eliminar los archivos temporales una vez que ya no sean necesarios.
  • Mecanismos de recolección de basura — Evidencia de procesos automatizados o programados que identifican y eliminan archivos temporales, incluidos registros que muestran cuándo se ejecutan estos procesos.
  • Registros de verificación periódica — Registros que demuestren que la organización comprueba periódicamente si los archivos temporales no utilizados se eliminan dentro del plazo especificado.
  • Inventario del sistema — Un inventario de sistemas que crean archivos temporales que contienen información de identificación personal (PII), incluyendo los tipos de archivos temporales generados (registros de reversión, archivos temporales de bases de datos, archivos temporales de aplicaciones).

¿Cuáles son los controles relacionados?

Control Relación
A.2.4.3 Devolución, transferencia o eliminación de información personal identificable Obligaciones más amplias de eliminación de información personal identificable que complementan la eliminación temporal de archivos.
A.2.2.2 Acuerdo con el cliente El contrato puede especificar períodos de retención temporal de archivos y requisitos de eliminación.
A.3 Controles de seguridad compartidos Los controles de seguridad para el almacenamiento de datos y el manejo de medios se aplican a la gestión de archivos temporales.
A.2.2.7 Registros de procesamiento La eliminación temporal de archivos debe registrarse como parte del procesamiento de registros.
Anexo D Mapeo del RGPD Mapas a GDPR Artículo 5(1)(c) sobre minimización de datos

¿A quién se aplica este control?

A.2.4.2 se aplica exclusivamente a Procesadores de información personal identificableLos procesadores suelen crear archivos temporales durante las actividades de procesamiento de datos en nombre de los responsables del tratamiento, y estos archivos pueden contener copias de la información personal identificable (IPI) que se está procesando. Es posible que el responsable del tratamiento ni siquiera sea consciente de la existencia de estos archivos temporales. Este control impone al procesador la obligación de gestionar y eliminar sistemáticamente los archivos temporales, evitando que la IPI persista en elementos del sistema que pasen desapercibidos.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión temporal de archivos?

SGSI.online Proporciona herramientas prácticas para gestionar las obligaciones de eliminación temporal de archivos:

  • Gestión de políticas — Crear y mantener procedimientos documentados para la eliminación de archivos temporales con control de versiones, flujos de trabajo de aprobación y recordatorios de revisión automatizados.
  • Inventario de activos — Mapear los sistemas que generan archivos temporales que contienen información de identificación personal, vinculando cada uno con su período de retención documentado y método de eliminación.
  • Programación de tareas — Programe tareas de verificación periódicas para confirmar que los procesos de recolección de basura se están ejecutando y que los archivos temporales se están eliminando dentro del período especificado.
  • Recolección de evidencias — Almacenar los registros de verificación y los registros de recolección de basura como evidencia de auditoría estructurada, lista para revisión interna o externa.
  • Mapeo de controles — Vincular los controles de archivos temporales con los requisitos relacionados de la norma ISO 27701 y los artículos del RGPD, demostrando un enfoque integral para la minimización de datos.

Preguntas Frecuentes

¿Qué tipos de archivos temporales suelen contener información de identificación personal (PII)?

Algunos ejemplos comunes incluyen tablas temporales de bases de datos utilizadas durante el procesamiento de consultas, registros de reversión que almacenan datos de transacciones para fines de recuperación, archivos de caché de aplicaciones, archivos de sesión, archivos de cola de impresión, archivos de preparación de exportaciones, archivos intermedios ETL (extracción, transformación y carga) y archivos de registro que capturan información de identificación personal durante el procesamiento. Cualquier sistema que procese información de identificación personal puede generar archivos temporales como parte de su funcionamiento normal, por lo que un inventario exhaustivo es esencial.

¿Cuánto tiempo deben conservarse los archivos temporales?

La norma exige un «periodo específico y documentado», pero no prescribe una duración concreta. El periodo de retención adecuado depende del tipo de archivo y del contexto de procesamiento. Los registros de reversión pueden requerir retención hasta que se confirme una transacción, mientras que los archivos de caché de la aplicación pueden eliminarse sin problema inmediatamente después de finalizar la sesión. El requisito fundamental es que el periodo esté documentado, justificado y se aplique de forma sistemática mediante la recolección automática de basura.

¿Qué es un proceso de recolección de basura en este contexto?

La recolección de basura se refiere a un proceso sistemático que identifica archivos temporales, determina cuánto tiempo ha transcurrido desde su último uso y elimina aquellos que han superado su período de retención documentado. Esto puede implementarse mediante scripts automatizados, tareas programadas, utilidades de limpieza del sistema operativo o rutinas de limpieza a nivel de aplicación. El proceso debe ejecutarse periódicamente y generar registros que puedan revisarse durante las verificaciones periódicas y presentarse a los auditores como evidencia de cumplimiento.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las pruebas específicas del procesador que requieren los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.