¿Qué requiere el control A.2.5.5?
La organización deberá notificar al cliente sobre cualquier solicitud legalmente vinculante de divulgación de información personal identificable.
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda una importante obligación de transparencia. Cuando un procesador recibe una solicitud legalmente vinculante de divulgación de información personal (por ejemplo, de una agencia de aplicación de la ley, un tribunal o una autoridad reguladora), debe notificar al responsable del tratamiento. Esto le permite comprender el impacto en sus datos, solicitar asesoramiento legal si es necesario y cumplir con sus propias obligaciones para con los interesados.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.5.5) proporciona la siguiente orientación:
- Naturaleza de las solicitudes — La organización puede recibir solicitudes de divulgación legalmente vinculantes, por ejemplo, de autoridades judiciales.
- Procedimiento de notificación — El cliente debe ser notificado dentro de los plazos acordados y siguiendo un procedimiento acordado, que puede definirse en el contrato.
- Prohibición de notificación — Algunas solicitudes jurídicamente vinculantes incluyen la prohibición de notificación, por ejemplo, en virtud de disposiciones del derecho penal diseñadas para preservar la confidencialidad de la investigación.
- Vea también A.2.5.3: Países y organizaciones internacionales para la transferencia de información personal identificable para requisitos relacionados
- Vea también A.2.5.7: Divulgación de subcontratistas utilizados para procesar información de identificación personal para requisitos relacionados
La guía reconoce la tensión existente entre la obligación del procesador de notificar al cliente y las situaciones en las que la notificación está legalmente prohibida. Cuando una orden judicial o una solicitud de las fuerzas del orden incluye una cláusula de confidencialidad (a veces denominada orden de silencio), es posible que el procesador no pueda notificar al cliente sin infringir la ley. En tales casos, el procesador debe cumplir con la prohibición legal y notificar al cliente tan pronto como se levante dicha prohibición.
¿Cómo se relaciona esto con el RGPD?
El control A.2.5.5 se corresponde con lo siguiente: GDPR artículo:
- Artículo 28 (3) (a) — El encargado del tratamiento solo procesará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, salvo que esté obligado a hacerlo por el Derecho de la Unión o de un Estado miembro al que esté sujeto; en tal caso, el encargado del tratamiento informará al responsable del tratamiento de dicho requisito legal antes de procesar los datos, salvo que dicho Derecho prohíba dicha información por motivos importantes de interés público.
GDPR El artículo 28(3)(a) exige que los encargados del tratamiento informen a los responsables del tratamiento cuando estén legalmente obligados a tratar (incluida la divulgación) datos personales. La excepción se aplica cuando la propia ley prohíbe la notificación por razones de interés público. Esto se corresponde con las directrices del Anexo B sobre las prohibiciones de notificación en el ámbito del derecho penal.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.5 como un control independiente con orientación de implementación en B.2.5.5 que aborda explícitamente los plazos de notificación, los procedimientos contractuales y la impugnación de las prohibiciones de notificación según el derecho penal. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.5.5, los auditores generalmente buscarán lo siguiente:
- Procedimiento de notificación — Un procedimiento documentado para notificar a los clientes cuando se reciben solicitudes de divulgación legalmente vinculantes, incluyendo el plazo de notificación y el canal de comunicación.
- Solicitar registro — Un registro de las solicitudes de divulgación legalmente vinculantes recibidas, que anote la autoridad solicitante, la fecha de recepción, el alcance de la solicitud, la fecha de notificación y cualquier prohibición de notificación.
- Notificaciones de clientes — Registros de las notificaciones enviadas a los clientes, incluyendo la fecha de envío y la información proporcionada.
- Disposiciones contractuales — Cláusulas contractuales que especifican el procedimiento de notificación, los plazos y el canal de comunicación preferido del cliente para las notificaciones de divulgación.
- Manejo de la prohibición — Procedimientos documentados para gestionar situaciones en las que la notificación está legalmente prohibida, incluyendo cómo se realiza el seguimiento de la prohibición y cómo se notifica al cliente una vez que se levanta la prohibición.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.6 Divulgaciones de información personal identificable legalmente vinculantes | Regula cómo el procesador gestiona la divulgación después de la notificación. |
| A.2.5.4 Registros de divulgaciones de información personal identificable | Todas las divulgaciones resultantes de solicitudes legalmente vinculantes deben ser registradas. |
| A.2.2.2 Acuerdo con el cliente | El contrato debe definir el procedimiento de notificación y los plazos. |
| A.2.2.6 Obligaciones del cliente | La notificación de las solicitudes de divulgación ayuda a los clientes a demostrar el cumplimiento. |
| A.2.5.2 Base para la transferencia de información personal identificable | Las divulgaciones legalmente obligatorias pueden implicar transferencias transfronterizas. |
¿A quién se aplica este control?
A.2.5.5 se aplica exclusivamente a Procesadores de información personal identificableCuando un encargado del tratamiento recibe una solicitud de divulgación legalmente vinculante, el responsable del tratamiento tiene un interés directo en conocerla. El responsable del tratamiento puede necesitar informar a los interesados, solicitar asesoramiento legal, impugnar la solicitud o actualizar sus propios registros. Sin notificación del encargado del tratamiento, el responsable del tratamiento desconoce que se han solicitado sus datos y no puede tomar las medidas oportunas.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para la gestión de solicitudes de divulgación?
SGSI.online Proporciona herramientas prácticas para gestionar las solicitudes de divulgación legalmente vinculantes:
- Seguimiento de solicitudes — Registrar y realizar un seguimiento de las solicitudes de divulgación legalmente vinculantes con campos estructurados para la autoridad solicitante, el alcance, la fecha de recepción y el estado de la notificación.
- Flujos de trabajo de notificación — Activar flujos de trabajo automatizados de notificación al cliente cuando se recibe una solicitud de divulgación, con plazos y canales de comunicación configurables.
- Gestión de la prohibición — Marcar las solicitudes con prohibiciones de notificación, establecer fechas de revisión para cuando expire la prohibición y activar automáticamente las notificaciones diferidas.
- Registro de auditoría — Mantener un registro de auditoría completo de cada solicitud de divulgación, notificación y respuesta, listo para la revisión regulatoria o del cliente.
- Vinculación contractual — Vincular los procedimientos de notificación de divulgación con las disposiciones contractuales pertinentes del cliente, garantizando un cumplimiento coherente.
Preguntas Frecuentes
¿Qué se considera una solicitud de divulgación legalmente vinculante?
Una solicitud de divulgación legalmente vinculante es aquella que el procesador está legalmente obligado a cumplir. Esto incluye órdenes judiciales, citaciones, órdenes de registro, requerimientos de investigación regulatoria y obligaciones de divulgación legales. Las solicitudes informales de las autoridades (donde el cumplimiento es voluntario) se abordan por separado en A.2.5.6 Divulgaciones legalmente vinculantesLa distinción clave radica en si el procesador tiene la obligación legal de revelar la información, no en si la solicitud proviene de un organismo gubernamental.
¿Qué ocurre si el procesador tiene prohibido notificar al cliente?
Algunas solicitudes legalmente vinculantes incluyen una cláusula de confidencialidad que prohíbe al procesador notificar a terceros sobre la solicitud. Esto es común en investigaciones penales, donde la notificación podría comprometer la investigación. En tales casos, el procesador debe cumplir con la prohibición. Sin embargo, debe hacer un seguimiento de la prohibición, verificar si se ha levantado o ha expirado y notificar al cliente tan pronto como lo permita la ley. Los procedimientos del procesador deben documentar cómo se manejan estas situaciones.
¿Con qué rapidez se debe notificar a los clientes?
La norma no especifica un plazo de notificación, sino que establece que los clientes deben ser notificados dentro de los plazos acordados en el contrato. En la práctica, la notificación debe ser lo suficientemente rápida para que el cliente pueda actuar antes de que se produzca la divulgación, si es posible. Muchos contratos exigen la notificación entre 24 y 72 horas después de recibir la solicitud. El plazo específico debe equilibrar la urgencia de la solicitud, la necesidad del cliente de responder y los plazos legales vigentes.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la documentación de divulgación que requieren los auditores.
Vea las reseñas de nuestros guía de evaluación de proveedores sobre cómo los clientes evalúan las prácticas de divulgación de los procesadores.
