Ir al contenido
SGSI.online

Control A.2.4.3 de la norma ISO 27701:2025: Devolución, transferencia o eliminación de información personal identificable (PII).

El control A.2.4.3 exige que las organizaciones puedan devolver, transferir o eliminar la información personal identificable (IPI) de forma segura y que pongan su política de eliminación a disposición del cliente. Esto garantiza que la IPI no se conserve una vez finalizada la relación de procesamiento.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.4.3?

La organización deberá poder devolver, transferir o eliminar la información personal identificable de forma segura. Asimismo, deberá poner su política a disposición del cliente.

Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda qué sucede con la información personal identificable (PII) al finalizar la relación de procesamiento. Al finalizar un contrato, el procesador debe poder devolver los datos al responsable del tratamiento, transferirlos a otro procesador o eliminarlos de forma segura. La política del procesador para el manejo de los datos al finalizar el contrato debe ser transparente y estar a disposición del cliente.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.4.3) proporciona la siguiente orientación:

  • Múltiples opciones — El tratamiento de datos al final del contrato puede implicar la devolución de la información de identificación personal al cliente, su transferencia a otra organización, su eliminación, su anonimización o su archivo.
  • Borrado total — La organización debe garantizar que la información de identificación personal se elimine de todas partes, incluidas las copias de seguridad, tan pronto como deje de ser necesaria para el propósito original.
  • Política de eliminación — La organización debe desarrollar una política de eliminación de residuos y ponerla a disposición de los clientes.
  • Retención posterior a la finalización del contrato — La política de eliminación debe abarcar el período de retención posterior a la finalización del contrato, especificando cuánto tiempo se conservarán los datos antes de su eliminación definitiva.
  • Vea también A.2.4.4: Controles de transmisión PII para requisitos relacionados

Las directrices hacen hincapié en la exhaustividad. Eliminar la información de identificación personal (IIP) de los sistemas de producción y conservar copias en las copias de seguridad es insuficiente. El responsable del tratamiento debe garantizar que todas las copias de la IIP, incluidas las que se encuentran en los sistemas de copia de seguridad, los entornos de recuperación ante desastres y el almacenamiento archivado, se identifiquen y eliminen dentro del período de retención documentado.

¿Cómo se relaciona esto con el RGPD?

El control A.2.4.3 se corresponde con lo siguiente: GDPR artículos:

  • Artículo 28(3)(g) — El encargado del tratamiento, a elección del responsable del tratamiento, eliminará o devolverá todos los datos personales al responsable del tratamiento una vez finalizada la prestación de los servicios y eliminará las copias existentes, salvo que la legislación de la Unión o de un Estado miembro exija su almacenamiento.
  • Artículo 30(1)(f) — Una descripción general de las medidas de seguridad técnicas y organizativas, incluidas las relativas a la eliminación de datos.

GDPR El artículo 28, apartado 3, letra g), otorga al responsable del tratamiento el derecho a elegir entre la supresión y la devolución de los datos. El encargado del tratamiento debe admitir ambas opciones. La única excepción se da cuando la legislación de la Unión o de un Estado miembro exige al encargado del tratamiento la conservación de determinados datos, en cuyo caso deberá documentarse la base jurídica para dicha conservación.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.4.3 como un control independiente con orientación de implementación en B.2.4.3 que aborda específicamente el borrado de copias de seguridad, la transparencia de la política y los períodos de retención posteriores a la terminación. El requisito explícito de poner la política de eliminación a disposición de los clientes es un énfasis notable. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.4.3, los auditores generalmente buscarán lo siguiente:

  • Política de eliminación documentada — Una política escrita que abarque la devolución, transferencia y eliminación de información de identificación personal, incluidos los métodos de eliminación segura, anonimización y archivo.
  • Disponibilidad del cliente — Pruebas de que la política de eliminación de residuos se ha puesto a disposición de los clientes, ya sea a través de anexos contractuales, portales de clientes o mediante suministro directo.
  • Procedimientos posteriores a la rescisión del contrato — Procedimientos documentados para el manejo de la información de identificación personal (PII) después de la terminación del contrato, incluidos los períodos de retención definidos y la secuencia de pasos para la devolución, transferencia y eliminación.
  • Capacidad de borrado de copias de seguridad — Evidencia de que la organización puede identificar y eliminar la información de identificación personal (PII) de los sistemas de respaldo, los entornos de recuperación ante desastres y el almacenamiento archivado.
  • Registros de eliminación — Registros de actividades anteriores de eliminación de información de identificación personal, incluidos certificados de destrucción, confirmación de devolución de datos y evidencia de borrado de copias de seguridad.

¿Cuáles son los controles relacionados?

Control Relación
A.2.4.2 Archivos temporales La eliminación temporal de archivos es un componente de la obligación más amplia de eliminación de información de identificación personal.
A.2.2.2 Acuerdo con el cliente El contrato debe especificar los procedimientos de devolución, transferencia y eliminación de datos.
A.2.3.2 Obligaciones con los directivos de PII La portabilidad de los datos y los derechos de borrado están relacionados con las capacidades de eliminación.
A.2.2.6 Obligaciones del cliente Las políticas de eliminación forman parte de la información de cumplimiento que se proporciona a los clientes.
A.2.5.8 Contratación de subcontratistas Los subcontratistas también deben cumplir con los requisitos de eliminación de información de identificación personal.

¿A quién se aplica este control?

A.2.4.3 se aplica exclusivamente a Procesadores de información personal identificableAl finalizar una relación de procesamiento, el responsable del tratamiento necesita la garantía de que sus datos se han gestionado adecuadamente. Si el encargado del tratamiento no puede devolver los datos o eliminarlos de forma segura, el responsable del tratamiento se enfrenta a un riesgo continuo de incumplimiento normativo. Este control garantiza que los encargados del tratamiento cuenten con la capacidad y los procedimientos documentados para gestionar los datos al finalizar el contrato.



El potente panel de control de ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de eliminación de información de identificación personal?

SGSI.online Proporciona herramientas prácticas para gestionar la devolución, transferencia y eliminación de información de identificación personal (PII):

  • Gestión de políticas — Cree y mantenga su política de eliminación de información personal identificable con control de versiones, flujos de trabajo de aprobación y cronogramas de revisión automatizados, asegurando que se mantenga actualizada.
  • Seguimiento de contratos — Realizar un seguimiento de las obligaciones de eliminación según el contrato del cliente, incluidos los períodos de retención posteriores a la rescisión y el método de eliminación elegido por el cliente.
  • flujo de trabajo de eliminación — Gestionar la eliminación de datos al final del contrato con flujos de trabajo estructurados que abarquen sistemas de producción, copias de seguridad, recuperación ante desastres y almacenamiento de archivo.
  • Gestión de pruebas — Almacenar certificados de eliminación, confirmaciones de devolución y evidencia de borrado de respaldo como registros de auditoría estructurados.
  • Mapeo de cumplimiento — Vincular los procedimientos de eliminación con el artículo 28(3)(g) del RGPD y los controles relacionados de la norma ISO 27701, demostrando un enfoque integral.

Preguntas Frecuentes

¿Cómo se eliminan los datos de identificación personal (PII) en los sistemas de respaldo?

La eliminación de la información personal identificable (IPI) de las copias de seguridad es uno de los aspectos más complejos de este control. Las opciones incluyen: permitir que las cintas de copia de seguridad caduquen de forma natural dentro de un período de rotación definido (documentando el tiempo máximo de retención); utilizar sistemas de copia de seguridad que admitan la eliminación granular de registros individuales; cifrar la IPI con claves específicas del cliente y destruir la clave al finalizar el contrato; o implementar una política de exclusión de copias de seguridad que impida que se realicen copias de seguridad de la IPI después de que se active el mecanismo de eliminación. El enfoque elegido debe documentarse en la política de eliminación y comunicarse al cliente.

¿Qué ocurre si las obligaciones legales impiden su eliminación?

El artículo 28, apartado 3, letra g) del RGPD permite a los encargados del tratamiento conservar los datos personales tras la finalización del contrato si así lo exige la legislación de la Unión o de un Estado miembro. Algunos ejemplos son los registros fiscales, los datos de transacciones financieras o los datos sujetos a retención judicial. Cuando corresponda la retención legal, el encargado del tratamiento deberá documentar la base jurídica específica, el alcance de los datos retenidos, el período de retención y las restricciones de acceso aplicadas. Se deberá informar al cliente de cualquier obligación legal de retención que impida la eliminación completa de los datos al finalizar el contrato.

¿Debe incluirse la política de eliminación de residuos en el contrato?

Sí. La política de eliminación de datos debe incluirse como anexo contractual o referenciarse en el acuerdo de procesamiento de datos, con un mecanismo que permita al cliente acceder a la versión actual. Esto garantiza que ambas partes hayan acordado el método de eliminación antes de que comience el procesamiento. El contrato también debe especificar el derecho del cliente a elegir entre la devolución y la eliminación, cualquier período de retención posterior a la rescisión y el formato en el que se devolverán los datos si se solicita.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las pruebas específicas del procesador que requieren los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.