Ir al contenido
SGSI.online

ISO 27701:2025 Control A.2.5.3: Países y organizaciones internacionales para la transferencia de información de identificación personal

El control A.2.5.3 exige que las organizaciones especifiquen y documenten los países y las organizaciones internacionales a las que se pueden transferir los datos personales. Esto proporciona a los clientes la transparencia necesaria para evaluar sus propias obligaciones de cumplimiento en materia de flujos de datos transfronterizos.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.5.3?

La organización deberá especificar y documentar los países y organizaciones internacionales a los que se puede transferir información personal identificable.

Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda un requisito fundamental de transparencia. Los responsables del tratamiento deben saber dónde podrían terminar sus datos, ya que las distintas jurisdicciones tienen diferentes estándares de protección de datos. Sin una lista documentada de los destinos de transferencia, el responsable del tratamiento no puede realizar evaluaciones de impacto de la transferencia ni garantizar el cumplimiento de los requisitos de transferencia transfronteriza.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.5.3) proporciona la siguiente orientación:

  • Operaciones normales — Los países que participan en las operaciones normales deben estar disponibles para los clientes.
  • Procesamiento subcontratado — La lista debe incluir a los países que participan mediante acuerdos de procesamiento subcontratados.
  • Transferencias de autoridad legal — Fuera de las operaciones normales, las transferencias requeridas por las autoridades legales pueden no ser especificables con anticipación o su divulgación puede estar prohibida para preservar la confidencialidad de la investigación.
  • Vea también A.2.5.9: Cambio de subcontratista para procesar información personal identificable para requisitos relacionados

La guía establece una distinción importante entre las transferencias que forman parte de las operaciones normales (las cuales deben documentarse y divulgarse) y las transferencias exigidas por las autoridades legales (las cuales pueden no ser predecibles ni divulgables). Para las operaciones normales, el procesador debe mantener una lista completa que incluya tanto los destinos de transferencia directos como aquellos introducidos a través de subcontratistas.

¿Cómo se relaciona esto con el RGPD?

El control A.2.5.3 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 30, apartado 2, letra c) — El registro de las actividades de tratamiento realizadas en nombre de un responsable del tratamiento deberá contener las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país o organización internacional.

GDPR El artículo 30(2)(c) establece la obligación de mantener registros. Los encargados del tratamiento deben incluir los destinos de transferencia en sus registros de actividades de tratamiento. Esto no es opcional para los encargados del tratamiento con 250 o más empleados, y también se aplica a los encargados más pequeños cuando el tratamiento pueda suponer un riesgo para los interesados.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.3 como un control independiente con orientación de implementación en B.2.5.3 que distingue específicamente entre transferencias operativas normales y transferencias de autoridad legal. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.5.3, los auditores generalmente buscarán lo siguiente:

  • Registro del país — Una lista documentada y actualizada de todos los países y organizaciones internacionales a los que se puede transferir información personal identificable durante las operaciones normales.
  • Cobertura de subcontratistas — Evidencia de que la lista de países incluye destinos introducidos mediante procesamiento subcontratado, no solo transferencias directas.
  • Disponibilidad del cliente — Pruebas de que la lista de países se ha puesto a disposición de los clientes, ya sea a través de contratos, portales de clientes o comunicación directa.
  • Registros de actividades de procesamiento — Destinos de transferencia registrados en los registros de actividades de procesamiento del artículo 30(2)
  • Procedimientos de actualización — Un proceso documentado para actualizar la lista de países cuando se agregan nuevos destinos de transferencia, incluidos los procedimientos de notificación al cliente.

¿Cuáles son los controles relacionados?

Control Relación
A.2.5.2 Base para la transferencia de información personal identificable Cada país documentado requiere una base legal documentada para la transferencia.
A.2.5.7 Revelación de subcontratistas Las divulgaciones de los subcontratistas incluyen los países donde operan.
A.2.5.8 Contratación de subcontratistas Los contratos de subcontratistas deben especificar los destinos de transferencia.
A.2.2.7 Registros de procesamiento Los destinos de transferencia son un elemento necesario para el procesamiento de registros.
A.2.5.4 Registros de divulgaciones de información personal identificable Las divulgaciones a organizaciones en otros países deben registrarse en el país de destino.

¿A quién se aplica este control?

A.2.5.3 se aplica exclusivamente a Procesadores de información personal identificableLos responsables del tratamiento necesitan esta información para realizar sus propias evaluaciones de impacto de la transferencia y cumplir con sus obligaciones de transparencia ante los interesados. Si un encargado del tratamiento no puede informar a sus clientes sobre el posible destino de la información personal, el responsable del tratamiento no puede cumplir con sus propias obligaciones de protección de datos. Por ello, la lista de países se convierte en un elemento fundamental de la transparencia del encargado del tratamiento.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Solicitar demostración


¿Por qué elegir SGSI.online ¿Para la gestión del destino de transferencia?

SGSI.online Proporciona herramientas prácticas para documentar y gestionar los destinos de transferencia de información de identificación personal (PII):

  • Registro del país — Mantener un registro centralizado y con control de versiones de todos los países y organizaciones internacionales a los que se puede transferir información de identificación personal.
  • Integración de subcontratistas — Vincula los registros de subcontratistas con sus ubicaciones de procesamiento, incluyendo automáticamente los países de los subcontratistas en tu lista de destinos de transferencia.
  • Informes de clientes — Generar informes de destino de transferencia para los clientes, mostrando todos los países involucrados en el procesamiento de sus datos.
  • Seguimiento de cambios — Realiza un seguimiento de las altas y bajas de la lista de países con un registro de auditoría completo y activadores de notificación automática para los clientes.
  • Mapeo de cumplimiento — Asignar a cada destino de transferencia su base legal (A.2.5.2 Base para la transferencia de información personal identificable) y disposiciones contractuales relacionadas para una imagen de cumplimiento completa

Preguntas Frecuentes

¿Debería la lista de países incluir las regiones de los proveedores de servicios en la nube?

Sí. Si su infraestructura en la nube opera en varias regiones o zonas de disponibilidad, cada país donde se puedan almacenar o procesar datos debe incluirse en la lista de países. Esto incluye las ubicaciones de procesamiento principal, las regiones de conmutación por error y cualquier ubicación utilizada para la replicación o copia de seguridad de datos. Incluso si configura una región específica, verifique si los términos del proveedor de la nube permiten procesar o almacenar temporalmente datos en otras ubicaciones por motivos operativos.

¿Qué ocurre con los traslados exigidos por las fuerzas del orden?

La guía del Anexo B reconoce que las transferencias requeridas por las autoridades legales pueden no ser especificables de antemano y pueden estar prohibidas para su divulgación con el fin de preservar la confidencialidad de la investigación. Estas transferencias quedan fuera del alcance de la lista de países de operaciones normales. Sin embargo, aún debe documentar su procedimiento para manejar dichas solicitudes (cubiertas por A.2.5.5 Solicitudes de divulgación de información personal identificable y A.2.5.6 Divulgaciones legalmente vinculantes) e informar a los clientes cuando la ley lo permita.

¿Con qué frecuencia debe revisarse la lista de países?

La lista de países debe revisarse siempre que haya un cambio en su infraestructura de procesamiento, acuerdos con subcontratistas o configuraciones del proveedor de la nube. Como mínimo, realice una revisión anual para confirmar que la lista sigue siendo precisa. Los cambios en la lista deben activar el proceso de notificación al cliente requerido por A.2.5.2 Base para la transferencia de información personal identificable, dando a los clientes la oportunidad de evaluar las implicaciones y presentar objeciones si fuera necesario.

Nuestro Guía para la transferencia transfronteriza de datos Cubre las obligaciones de transferencia tanto del controlador como del procesador según la norma ISO 27701:2025.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría en cuanto a la documentación que los auditores esperan para los controles de transferencia.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.