¿Qué requiere el control A.2.5.4?
La organización deberá registrar las divulgaciones de información personal identificable a terceros, incluyendo qué información personal identificable se ha divulgado, a quién y cuándo.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda la responsabilidad en el intercambio de datos con terceros. Cada vez que un procesador divulgue información de identificación personal (IIP) a un tercero, ya sea un subcontratista, una autoridad legal, un auditor o cualquier otro destinatario, deberá crearse un registro. Este registro deberá incluir el alcance de los datos divulgados, la identidad del destinatario y la fecha de divulgación.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.5.4) proporciona la siguiente orientación:
- Operaciones normales — Divulgaciones de registros realizadas durante las operaciones normales de procesamiento, como transferencias a subcontratistas o devoluciones de datos a los clientes.
- Divulgaciones no rutinarias — Registre también cualquier información adicional que surja de investigaciones legales o auditorías externas.
- Fuente y autoridad — Los registros deben incluir la fuente de la divulgación (quién la inició) y la fuente de autoridad (qué base legal o contractual la autorizó).
- Vea también A.2.5.2: Base para la transferencia de información personal identificable entre jurisdicciones para requisitos relacionados
- Vea también A.2.5.8: Contratación de un subcontratista para procesar información personal identificable (PII) para requisitos relacionados
La guía deja claro que los registros de divulgación deben abarcar tanto las divulgaciones rutinarias como las no rutinarias. Las divulgaciones rutinarias incluyen las transferencias regulares de datos a subcontratistas como parte del procesamiento normal. Las divulgaciones no rutinarias incluyen las respuestas a solicitudes de autoridades legales, el acceso a auditorías externas y cualquier otro intercambio puntual de información personal identificable con terceros.
¿Cómo se relaciona esto con el RGPD?
El control A.2.5.4 se corresponde con lo siguiente: GDPR artículo:
- Artículo 30, apartado 1, letra d) — El registro de actividades de tratamiento deberá contener las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
Aunque GDPR El artículo 30 exige el registro de las categorías de destinatarios, mientras que la norma ISO 27701 A.2.5.4 va más allá al exigir el registro de las divulgaciones específicas, incluyendo exactamente qué información personal se divulgó, a qué destinatario específico y en qué fecha. Esto proporciona un registro de auditoría más detallado que el requisito mínimo del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.4 como un control independiente con orientación de implementación en B.2.5.4 que aborda específicamente el registro de divulgaciones no rutinarias de investigaciones legales y auditorías externas, y requiere que los registros incluyan la fuente de divulgación y la autoridad. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.5.4, los auditores generalmente buscarán lo siguiente:
- Registro de divulgación — Un registro o bitácora mantenido de todas las divulgaciones de información de identificación personal a terceros, con entradas para cada evento de divulgación.
- Integridad del registro — Cada registro debe incluir: las categorías o elementos específicos de información personal identificable divulgada, la identidad del destinatario, la fecha y hora de la divulgación, la fuente de la divulgación (quién la inició) y la autoridad para la divulgación (base legal o disposición contractual).
- Cobertura rutinaria y no rutinaria — Evidencia de que el registro abarca tanto divulgaciones operativas rutinarias (como transferencias de subcontratistas) como divulgaciones no rutinarias (como solicitudes de autorización legal y acceso para auditorías).
- Conservación de registros — Registros de divulgación conservados durante el período requerido por la ley aplicable y el contrato con el cliente.
- Informes de clientes — Pruebas de que los registros de divulgación pueden proporcionarse a los clientes que los soliciten, lo que les permite cumplir con sus propias obligaciones de transparencia.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.5 Notificación de solicitudes de divulgación de información personal identificable | Los clientes deben ser notificados de las solicitudes de divulgación legalmente vinculantes, las cuales también deben ser registradas. |
| A.2.5.6 Divulgaciones de información personal identificable legalmente vinculantes | Las divulgaciones legalmente vinculantes deben registrarse ante la autoridad legal que las obligó a realizarlas. |
| A.2.5.7 Revelación de subcontratistas | Las divulgaciones de subcontratistas son una categoría de divulgación de terceros que requiere registros. |
| A.2.2.7 Registros de procesamiento | Los registros de divulgación forman parte de los registros de procesamiento más amplios. |
| A.2.5.3 Países para la transferencia de información personal identificable | Las divulgaciones a destinatarios en otros países deben hacer referencia cruzada al registro del país. |
¿A quién se aplica este control?
A.2.5.4 se aplica exclusivamente a Procesadores de información personal identificableLos encargados del tratamiento divulgan habitualmente información personal a terceros como parte de sus operaciones, ya sea mediante acuerdos con subcontratistas, la devolución de datos a los clientes, las respuestas a las autoridades legales o el acceso a auditorías externas. Sin un registro sistemático de estas divulgaciones, ni el encargado del tratamiento ni el responsable del tratamiento pueden demostrar la responsabilidad sobre cómo se ha compartido la información personal.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para el seguimiento de la divulgación de información de identificación personal?
SGSI.online Proporciona herramientas prácticas para registrar y gestionar las divulgaciones de información de identificación personal:
- Registro de divulgación — Mantener un registro centralizado de todas las divulgaciones de información personal identificable (PII) con campos estructurados para las categorías de PII, la identidad del destinatario, la fecha, la fuente y la autoridad.
- Registro automatizado — Crear registros de divulgación a partir de activadores de flujo de trabajo, asegurando que las divulgaciones rutinarias se capturen sistemáticamente sin intervención manual.
- Seguimiento de autoridades — Vincule cada divulgación a su base legal o disposición contractual, demostrando que cada divulgación fue autorizada.
- Informes de clientes — Generar informes de divulgación para clientes individuales, mostrando todas las divulgaciones de su información personal a terceros.
- Disponibilidad de auditoría — Presentar los registros de divulgación en un formato estructurado para auditorías internas y externas, con filtros por fecha, destinatario, categoría de información personal identificable y autoridad.
Preguntas Frecuentes
¿Qué se considera una divulgación a un tercero?
Se produce una divulgación siempre que la información personal identificable (IPI) se pone a disposición de una entidad externa a la organización. Esto incluye: transferencias a subcontratistas para su procesamiento; devolución de datos al cliente (el responsable del tratamiento); respuestas a solicitudes de autoridades legales; acceso proporcionado a auditores externos; compartición con otros encargados o responsables del tratamiento; y cualquier otra situación en la que la IPI salga del control de la organización. Las transferencias internas entre departamentos o sistemas dentro de la organización no constituyen divulgaciones a terceros, pero las transferencias a entidades jurídicas independientes dentro de un grupo sí pueden serlo.
¿Qué nivel de detalle deben tener los registros de divulgación?
Como mínimo, los registros deben incluir: qué información personal identificable (IPI) se divulgó (categorías o elementos de datos específicos); a quién (la organización receptora específica); cuándo (fecha y hora); quién inició la divulgación; y la base legal para su realización (cláusula contractual, requisito legal o instrucción del cliente). Para divulgaciones no rutinarias, como las solicitudes de autorización legal, se debe incluir información adicional como el número de referencia de la solicitud, la disposición legal específica citada y cualquier restricción para notificar al cliente.
¿Durante cuánto tiempo deben conservarse los registros de divulgación?
Los periodos de conservación de los registros de divulgación deben ajustarse a la legislación de protección de datos aplicable (el RGPD no especifica un periodo, pero exige que los registros estén disponibles para la autoridad de control si esta lo solicita), al contrato con el cliente (que sí puede especificar un periodo de conservación) y a la política de conservación de la propia organización. Un enfoque habitual consiste en conservar los registros de divulgación durante la vigencia de la relación de tratamiento, más un periodo suficiente para cubrir posibles reclamaciones legales (normalmente 6 años en el Reino Unido). Los registros no deben destruirse mientras esté en curso alguna investigación o litigio relacionado.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la documentación de divulgación que requieren los auditores.
Vea las reseñas de nuestros guía de evaluación de proveedores sobre cómo los clientes evalúan las prácticas de divulgación de los procesadores.
