Ir al contenido
SGSI.online

Control A.2.5.6 de la norma ISO 27701:2025: Divulgaciones de información personal identificable legalmente vinculantes

El control A.2.5.6 exige que las organizaciones rechacen las solicitudes de divulgación no vinculantes, consulten al cliente antes de divulgar información personal identificable (PII) y acepten las solicitudes acordadas contractualmente y autorizadas por el cliente. Esto garantiza que la PII solo se divulgue cuando exista una base legal o contractual adecuada.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.5.6?

La organización deberá rechazar cualquier solicitud de divulgación de información personal identificable que no sea legalmente vinculante, consultar al cliente correspondiente antes de realizar cualquier divulgación de información personal identificable y aceptar cualquier solicitud de divulgación de información personal identificable acordada contractualmente que esté autorizada por el cliente correspondiente.

Este control se encuentra dentro del Controles del procesador de PII Anexo (A.2) y establece un marco de decisión claro para gestionar las solicitudes de divulgación de información personal identificable (PII). Crea una jerarquía: rechazar las solicitudes que carecen de fundamento jurídico, consultar al responsable del tratamiento antes de divulgar la información y respetar las divulgaciones acordadas contractualmente y autorizadas por el cliente. Esto impide que los encargados del tratamiento divulguen información personal identificable sin la debida autorización.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.5.6) proporciona la siguiente orientación:

La guía es deliberadamente concisa porque el control en sí es altamente prescriptivo. La obligación, que consta de tres partes, es clara: rechazar las solicitudes no vinculantes, consultar al cliente sobre las solicitudes vinculantes y aceptar las solicitudes autorizadas por el cliente. El contrato debe definir los procedimientos para cada escenario, incluyendo cómo el encargado del tratamiento determina si una solicitud es legalmente vinculante, cómo se lleva a cabo la consulta con el cliente y qué divulgaciones preautorizadas ha aceptado el cliente.

¿Cómo se relaciona esto con el RGPD?

El control A.2.5.6 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 48 — Cualquier sentencia de un tribunal o cualquier decisión de una autoridad administrativa de un tercer país que exija a un responsable o encargado del tratamiento la transferencia o divulgación de datos personales solo podrá ser reconocida o ejecutable si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o un Estado miembro.

GDPR El artículo 48 es particularmente relevante para los encargados del tratamiento que operan internacionalmente. Establece que las resoluciones judiciales y administrativas extranjeras no pueden, por sí solas, obligar a la divulgación de datos personales a menos que exista un acuerdo internacional vigente. Esto refuerza la obligación del encargado del tratamiento de rechazar las solicitudes no vinculantes y de verificar el fundamento jurídico antes de la divulgación.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.6 como un control independiente con orientación de implementación en B.2.5.6 que aclara las fuentes de las solicitudes de divulgación (tribunales, tribunales administrativos) y el papel del contrato con el cliente. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.5.6, los auditores generalmente buscarán lo siguiente:

  • Procedimiento de decisión sobre la divulgación — Un procedimiento documentado para evaluar las solicitudes de divulgación, incluyendo cómo la organización determina si una solicitud es jurídicamente vinculante.
  • Registros de rechazo — Registros de solicitudes de divulgación no vinculantes que fueron rechazadas, incluyendo el fundamento del rechazo y cualquier correspondencia con la parte solicitante.
  • Registros de consultas de clientes — Evidencia de consulta con el cliente antes de que se hicieran las divulgaciones, incluyendo la comunicación, la respuesta del cliente y la decisión tomada.
  • Divulgaciones preautorizadas — Cláusulas contractuales que definen las divulgaciones que el cliente ha autorizado previamente, eliminando la necesidad de consulta caso por caso.
  • capacidad de evaluación legal — Pruebas de que la organización tiene acceso a asesoramiento jurídico para evaluar si las solicitudes son jurídicamente vinculantes, en particular las procedentes de jurisdicciones extranjeras.

¿Cuáles son los controles relacionados?

Control Relación
A.2.5.5 Notificación de solicitudes de divulgación La notificación es el primer paso; este control rige la decisión de divulgar o rechazar.
A.2.5.4 Registros de divulgaciones de información personal identificable Todas las divulgaciones (y rechazos) deben registrarse.
A.2.2.2 Acuerdo con el cliente El contrato define el procedimiento de decisión sobre la divulgación y las divulgaciones previamente autorizadas.
A.2.5.2 Base para la transferencia de información personal identificable Las divulgaciones legalmente obligatorias a autoridades extranjeras deben tener una base de transferencia válida.
A.2.2.4 Uso de marketing y publicidad Las divulgaciones con fines de marketing requieren la autorización específica del cliente.

¿A quién se aplica este control?

A.2.5.6 se aplica exclusivamente a Procesadores de información personal identificableLos encargados del tratamiento actúan en nombre de los responsables del tratamiento y no deben decidir de forma independiente divulgar información personal a terceros. Este control garantiza que los encargados del tratamiento solo divulguen información personal cuando exista una obligación legal vinculante o la autorización explícita del cliente. No se permiten las divulgaciones voluntarias sin el consentimiento del cliente ni la obligación legal.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de decisiones sobre divulgación?

SGSI.online Proporciona herramientas prácticas para gestionar las decisiones sobre la divulgación de información de identificación personal:

  • Flujos de trabajo de decisión — Flujos de trabajo estructurados para evaluar las solicitudes de divulgación, con lógica de ramificación para solicitudes legalmente vinculantes, no vinculantes y autorizadas por el cliente.
  • Seguimiento de evaluaciones legales — Registrar las evaluaciones legales sobre si las solicitudes son vinculantes, incluyendo la jurisdicción, la disposición legal citada y el asesoramiento legal obtenido.
  • Consulta al cliente — Gestionar las consultas de los clientes dentro de la plataforma, haciendo un seguimiento de la solicitud, la comunicación, la respuesta y la decisión final.
  • Gestión del rechazo — Documentar las solicitudes rechazadas con los motivos del rechazo, creando un registro defendible para la revisión regulatoria o legal.
  • Integración de contratos — Vincular los procedimientos de divulgación con las cláusulas del contrato con el cliente, garantizando que las divulgaciones previamente autorizadas se identifiquen y gestionen de forma coherente.

Preguntas Frecuentes

¿Cómo determina el procesador si una solicitud es legalmente vinculante?

El responsable del tratamiento debe evaluar si la autoridad solicitante tiene potestad legal para exigir la divulgación y si la solicitud se ha formulado correctamente conforme a la legislación aplicable. Esto suele requerir asesoramiento jurídico, especialmente en el caso de solicitudes procedentes de jurisdicciones extranjeras. Entre los factores clave se incluyen: si la solicitud cita una disposición legal específica; si ha sido formulada por un tribunal, juzgado o autoridad administrativa competente; y si cumple con los requisitos formales de la legislación aplicable. Deben rechazarse las solicitudes informales, las de cooperación voluntaria y las que carezcan de fundamento jurídico.

¿Puede el procesador revelar información de identificación personal sin consultar al cliente?

Solo en circunstancias limitadas. Si el contrato del cliente incluye divulgaciones previamente autorizadas (por ejemplo, autorizar la divulgación en respuesta a órdenes judiciales válidas dentro de una jurisdicción específica), el procesador puede proceder sin consulta caso por caso. Además, si la notificación está legalmente prohibida (como se aborda en A.2.5.5 Solicitudes de divulgación de información personal identificable), el procesador puede necesitar revelar antes de poder notificar al cliente. En todos los demás casos, este control exige la consulta con el cliente antes de la divulgación.

¿Qué ocurre con las solicitudes de tribunales o autoridades extranjeras?

El artículo 48 del RGPD establece que las sentencias judiciales y las decisiones administrativas extranjeras solo son ejecutables si se basan en un acuerdo internacional, como un tratado de asistencia judicial mutua. Esto significa que una orden judicial extranjera por sí sola no constituye necesariamente una solicitud «jurídicamente vinculante» según el derecho de la UE. El responsable del tratamiento debe obtener asesoramiento jurídico antes de divulgar información personal identificable en respuesta a solicitudes de autoridades extranjeras y debe consultar con el cliente. En ausencia de un acuerdo internacional, la solicitud generalmente debe rechazarse, a menos que se apliquen otros mecanismos de transferencia del RGPD.

Nuestro Guía de requisitos de evidencia de auditoría Cubre la documentación de divulgación que requieren los auditores.

Vea las reseñas de nuestros guía de evaluación de proveedores sobre cómo los clientes evalúan las prácticas de divulgación de los procesadores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.