¿Qué requiere el control A.2.5.2?
La organización deberá informar al cliente de manera oportuna sobre la base para las transferencias de información personal identificable entre jurisdicciones y sobre cualquier cambio previsto al respecto, para que el cliente pueda oponerse a dichos cambios o rescindir el contrato.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda una de las áreas más complejas de la protección de datos: las transferencias transfronterizas. Cuando un procesador transfiere información personal identificable (IPI) a través de fronteras jurisdiccionales, el responsable del tratamiento debe conocer el fundamento jurídico de dicha transferencia. Si el fundamento cambia, el responsable del tratamiento debe tener la oportunidad de oponerse o rescindir el acuerdo antes de que el cambio surta efecto.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.5.2) proporciona la siguiente orientación:
- Documentar la base legal — La organización debe documentar el cumplimiento de los requisitos legales como base para la transferencia.
- Informar a los clientes sobre las transferencias. — Debe informar al cliente de las transferencias a proveedores, otras partes, otros países u otras organizaciones.
- Notificación anticipada — Debe informarse al cliente con antelación para que pueda oponerse a los cambios o rescindir el contrato.
- Cláusulas de flexibilidad contractual — Los acuerdos pueden incluir cláusulas que permitan a la organización implementar cambios sin previo aviso, sujeto a límites definidos.
- Mecanismos de transferencia — Para transferencias internacionales, identifique las cláusulas contractuales modelo, las normas corporativas vinculantes (NCV), las normas de privacidad transfronterizas y los países y circunstancias específicos involucrados.
- Vea también A.2.5.5: Notificación de solicitudes de divulgación de información personal identificable para requisitos relacionados
- Vea también A.2.5.6: Divulgaciones de información personal identificable legalmente vinculantes para requisitos relacionados
La guía deja claro que la transparencia es el principio fundamental. El encargado del tratamiento debe informar proactivamente al responsable del tratamiento sobre la base jurídica de las transferencias, sin esperar a que este lo solicite. En caso de existir cláusulas de flexibilidad contractual, estas deben tener límites definidos y no pueden utilizarse para eludir el derecho de control del responsable del tratamiento.
¿Cómo se relaciona esto con el RGPD?
El control A.2.5.2 se corresponde con lo siguiente: GDPR artículos:
- Artículo 44 — Principio general para las transferencias: las transferencias solo se realizan si GDPR se cumplen las condiciones
- Artículo 46 (1) — Salvaguardias apropiadas para las transferencias en ausencia de una decisión de adecuación
- Artículo 46(2)(af) — Salvaguardias específicas que incluyen normas corporativas vinculantes, cláusulas contractuales estándar, códigos de conducta y mecanismos de certificación.
- Artículo 46(3)(ab) — Cláusulas contractuales y disposiciones administrativas autorizadas por las autoridades de supervisión
- Artículo 48 — Transferencias o divulgaciones no autorizadas por el Derecho de la Unión
- Artículo 49(1)(ag) — Excepciones para situaciones específicas, incluyendo el consentimiento explícito, la necesidad contractual y los intereses vitales.
- Artículo 49(2-6) — Condiciones y limitaciones para las transferencias basadas en excepciones
Este es uno de los controles más ampliamente documentados en el estándar, lo que refleja la complejidad del marco de transferencia del RGPD. Los encargados del tratamiento deben poder identificar y documentar qué mecanismo específico del RGPD se aplica a cada transferencia.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.2 como un control independiente con orientación de implementación en B.2.5.2 que agrega cobertura explícita de reglas corporativas vinculantes, cláusulas contractuales modelo y reglas de privacidad transfronterizas como mecanismos de transferencia. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.5.2, los auditores generalmente buscarán lo siguiente:
- Evaluaciones del impacto de la transferencia — Evaluaciones documentadas de la base legal para cada transferencia transfronteriza, incluido el mecanismo específico del RGPD en el que se basa.
- Notificaciones de clientes — Registros de las notificaciones enviadas a los clientes sobre el motivo de las transferencias, incluidas las fechas de envío y las respuestas u objeciones de los clientes.
- Registros de gestión de cambios — Pruebas de que los clientes son informados con antelación de cualquier cambio previsto en los acuerdos de transferencia, con tiempo suficiente para oponerse o rescindir el contrato.
- Documentación de los mecanismos de transferencia — Copias de las cláusulas contractuales estándar, las normas corporativas vinculantes, las decisiones de adecuación u otros mecanismos utilizados para cada transferencia.
- Disposiciones contractuales — Cláusulas contractuales relativas a las transferencias transfronterizas, incluidas las cláusulas de flexibilidad y sus límites definidos.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.3 Países para la transferencia de información personal identificable | Documentos que especifican los países a los que se puede transferir la información de identificación personal (PII). |
| A.2.5.7 Revelación de subcontratistas | Las divulgaciones de los subcontratistas incluyen los países donde procesan información de identificación personal. |
| A.2.4.4 Controles de transmisión PII | Controles técnicos para proteger la información de identificación personal durante la transmisión transfronteriza |
| A.2.2.2 Acuerdo con el cliente | En el contrato se deben especificar las bases de transferencia y los procedimientos de notificación. |
| A.2.5.4 Registros de divulgaciones de información personal identificable | Las transferencias transfronterizas a terceros deben registrarse como declaraciones. |
¿A quién se aplica este control?
A.2.5.2 se aplica exclusivamente a Procesadores de información personal identificableLos responsables del tratamiento tienen la obligación legal de garantizar que las transferencias transfronterizas cumplan con la legislación de protección de datos, pero no pueden cumplir con esta obligación sin la transparencia de sus encargados del tratamiento. Este control garantiza que los encargados del tratamiento informen a los responsables del tratamiento sobre la base jurídica de las transferencias y les den la oportunidad de oponerse antes de que se produzcan cambios.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la gestión de transferencias transfronterizas?
SGSI.online Proporciona herramientas prácticas para gestionar las transferencias transfronterizas de información personal identificable (PII):
- Mapeo de transferencia — Mapear todos los flujos de datos transfronterizos, documentando la base legal, el mecanismo de transferencia y el país de destino para cada transferencia.
- Flujos de trabajo de notificación — Gestionar las notificaciones a los clientes sobre acuerdos de transferencia y cambios con comunicaciones rastreadas y registro de respuestas.
- Gestión de documentos — Almacene las cláusulas contractuales estándar, las BCR y las referencias a las decisiones de adecuación junto con cada registro de transferencia.
- Gestión del cambio — Realizar un seguimiento de los cambios propuestos en los acuerdos de transferencia a través de los flujos de trabajo de aprobación, asegurando que los clientes sean notificados antes de que los cambios entren en vigor.
- Panel de cumplimiento — Supervise el estado de todas las transferencias transfronterizas, sus bases legales y el estado de notificación desde una única vista.
Preguntas Frecuentes
¿Qué se considera una transferencia entre jurisdicciones?
Se produce una transferencia entre jurisdicciones cuando la información de identificación personal (IIP) se traslada de una jurisdicción legal a otra. Esto incluye transferencias físicas (envío de soportes entre países), transferencias electrónicas (transmisión de datos a servidores en otro país), acceso remoto (que permite al personal de otro país acceder a la IIP almacenada localmente) y procesamiento en la nube (utilizando servicios en la nube que almacenan o procesan datos en múltiples regiones). Incluso las transferencias temporales, como el paso de datos a través de un nodo de red en otra jurisdicción, pueden considerarse transferencias entre jurisdicciones según la legislación aplicable.
¿Con cuánta antelación deben avisar los clientes antes de que se produzcan cambios en la transferencia?
La norma exige una notificación oportuna, pero no especifica un plazo mínimo. Dicho plazo debe ser suficiente para que el cliente evalúe el cambio, realice las evaluaciones necesarias (como una evaluación del impacto de la transferencia) y, finalmente, acepte el cambio, negocie modificaciones o rescinda el contrato. Si bien es práctica común un mínimo de 30 días, el plazo específico debe definirse en el contrato en función de la complejidad y la sensibilidad del procesamiento.
¿Puede un contrato permitir transferencias sin notificación previa al cliente?
La guía del Anexo B reconoce que los acuerdos pueden incluir cláusulas que permitan a la organización implementar cambios sin notificación previa, pero estas cláusulas deben tener límites definidos. En la práctica, dichas cláusulas suelen aplicarse a transferencias dentro del mismo marco legal (por ejemplo, entre Estados miembros de la UE donde la adecuación es automática) y no a transferencias a jurisdicciones con estándares de protección de datos significativamente diferentes. El derecho del responsable del tratamiento a supervisar el tratamiento no debe verse menoscabado por cláusulas de flexibilidad excesivamente amplias.
Nuestro Guía para la transferencia transfronteriza de datos Cubre las obligaciones de transferencia tanto del controlador como del procesador según la norma ISO 27701:2025.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría en cuanto a la documentación que los auditores esperan para los controles de transferencia.
