¿Qué requiere el control A.2.5.7?
Antes de su uso, la organización deberá informar al cliente si se utilizan subcontratistas para procesar información de identificación personal (PII).
Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) aborda la transparencia de los subcontratistas. Cuando un procesador utiliza subcontratistas para procesar información personal identificable (IPI) en nombre del responsable del tratamiento, este último debe ser informado antes de que el subcontratista comience el procesamiento. Se trata de una obligación proactiva: la divulgación debe realizarse antes del uso, no después.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.2.5.7) proporciona la siguiente orientación:
- Disposiciones contractuales — Las disposiciones relativas a la divulgación de información por parte de los subcontratistas deben incluirse en el contrato con el cliente.
- Alcance de la divulgación — Revelar el hecho de la subcontratación y los nombres de los subcontratistas.
- Información sobre el país y la transferencia — Asimismo, divulgue los países y organizaciones donde los subcontratistas pueden transferir datos y los medios por los cuales los subcontratistas cumplen o superan las obligaciones del propio procesador.
- Consideraciones sobre riesgos de seguridad — Si la divulgación pública de los detalles de los subcontratistas aumenta el riesgo de seguridad, la divulgación puede realizarse mediante un acuerdo de confidencialidad (NDA) o a solicitud. Sin embargo, la lista de países siempre debe divulgarse independientemente de
- Vea también A.2.5.4: Registros de divulgaciones de información personal identificable a terceros para requisitos relacionados
- Vea también A.2.5.5: Notificación de solicitudes de divulgación de información personal identificable para requisitos relacionados
Las directrices equilibran la transparencia con la seguridad. Si bien en ocasiones puede ser necesario revelar la información completa de los subcontratistas (incluidos nombres y estado de cumplimiento) en virtud de un acuerdo de confidencialidad para prevenir riesgos de seguridad, los países a los que se puede transferir la información personal identificable (PII) deben divulgarse siempre sin restricciones. Esto garantiza que los responsables del tratamiento puedan evaluar en todo momento el cumplimiento de las transferencias transfronterizas.
¿Cómo se relaciona esto con el RGPD?
El control A.2.5.7 se corresponde con lo siguiente: GDPR artículos:
- Artículo 28 (2) — El encargado del tratamiento no podrá contratar a otro encargado del tratamiento sin la autorización previa, específica o general, por escrito del responsable del tratamiento. En caso de autorización general por escrito, el encargado del tratamiento deberá informar al responsable del tratamiento de cualquier cambio previsto en relación con la incorporación o sustitución de otros encargados del tratamiento, dando así al responsable del tratamiento la oportunidad de oponerse.
- Artículo 28 (4) — Cuando un encargado del tratamiento contrata a otro encargado del tratamiento para llevar a cabo actividades de tratamiento específicas en nombre del responsable del tratamiento, se impondrán a ese otro encargado del tratamiento las mismas obligaciones de protección de datos que las establecidas en el contrato entre el responsable del tratamiento y el encargado del tratamiento.
GDPR El artículo 28, apartado 2, exige una autorización específica (que indique a cada subencargado del tratamiento) o una autorización general con un mecanismo de notificación y objeción. En ambos casos, el responsable del tratamiento debe conocer la identidad de los subencargados antes de que estos comiencen el tratamiento.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.7 como un control independiente con orientación de implementación en B.2.5.7 que agrega cobertura explícita de los requisitos de divulgación por país, disposiciones de NDA para divulgaciones sensibles a la seguridad y el requisito de revelar cómo los subcontratistas cumplen o superan las obligaciones del procesador. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.5.7, los auditores generalmente buscarán lo siguiente:
- Registro de subcontratistas — Un registro mantenido de todos los subcontratistas utilizados para procesar información de identificación personal (PII), incluidos sus nombres, actividades de procesamiento, ubicaciones y la fecha en que se divulgaron a cada cliente.
- Registros de divulgación previos al compromiso — Evidencia de que los subcontratistas fueron revelados a los clientes antes de que comenzaran a procesar información de identificación personal, no después.
- Informacion del pais — Documentación de los países y organizaciones donde cada subcontratista procesa o transfiere información de identificación personal (PII).
- Prueba de cumplimiento — Registros que demuestren cómo los subcontratistas cumplen o superan las obligaciones del procesador, tales como certificaciones, informes de auditoría o compromisos contractuales.
- Disposiciones contractuales — Cláusulas contractuales que definen el procedimiento de divulgación del subcontratista, incluyendo si se aplica una autorización específica o general y el derecho del cliente a oponerse.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.8 Contratación de subcontratistas | Regula los requisitos contractuales y de autorización para la contratación efectiva del subcontratista. |
| A.2.5.3 Países para la transferencia de información personal identificable | Los países subcontratistas deben estar incluidos en la lista de destinos de transferencia. |
| A.2.5.2 Base para la transferencia de información personal identificable | Las transferencias a subcontratistas en otras jurisdicciones requieren una base legal documentada. |
| A.2.2.2 Acuerdo con el cliente | El contrato define el modelo de autorización de subcontratistas (específico o general). |
| A.2.2.6 Obligaciones del cliente | La transparencia de los subcontratistas ayuda a los clientes a demostrar su propio cumplimiento. |
¿A quién se aplica este control?
A.2.5.7 se aplica exclusivamente a Procesadores de información personal identificableLos responsables del tratamiento son, en última instancia, responsables del procesamiento de la información personal identificable (IPI), incluido el procesamiento realizado por subcontratistas en su nombre. Sin transparencia sobre quién procesa sus datos y dónde, los responsables del tratamiento no pueden cumplir con sus obligaciones de rendición de cuentas. Este control garantiza que los encargados del tratamiento no incorporen subcontratistas a la cadena de procesamiento sin el conocimiento del responsable del tratamiento.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para la gestión de la divulgación de subcontratistas?
SGSI.online Proporciona herramientas prácticas para gestionar la transparencia de los subcontratistas:
- Registro de subcontratistas — Mantener un registro centralizado de todos los subprocesadores, incluyendo sus nombres, actividades de procesamiento, ubicaciones, certificaciones y estado de cumplimiento.
- Flujos de trabajo de divulgación — Gestionar los flujos de trabajo de divulgación previa al compromiso con notificaciones de clientes, solicitudes de aprobación y manejo de objeciones con seguimiento.
- Mapeo de países — Vincular a los subcontratistas con sus países de procesamiento, actualizando automáticamente el registro de destino de transferencia cuando los subcontratistas cambien.
- Monitoreo de cumplimiento — Realizar un seguimiento de las pruebas de cumplimiento de los subcontratistas (certificaciones, informes de auditoría, términos contractuales) e indicar cuándo caducan o necesitan renovación.
- Portal del Cliente — Proporcione a sus clientes visibilidad sobre su registro de subcontratistas, reduciendo las solicitudes de información puntuales y demostrando una transparencia continua.
Preguntas Frecuentes
¿Qué información debe divulgarse sobre los subcontratistas?
Como mínimo, el responsable del tratamiento debe revelar: el uso de subcontratistas; los nombres de los subcontratistas; los países y organizaciones a los que los subcontratistas pueden transferir información personal identificable (IPI); y los medios por los que los subcontratistas cumplen o superan las obligaciones del responsable del tratamiento (como certificaciones, términos contractuales o resultados de auditorías). Si la divulgación de los nombres de los subcontratistas supone un riesgo para la seguridad, estos podrán divulgarse mediante un acuerdo de confidencialidad o previa solicitud, pero la lista de países siempre deberá divulgarse abiertamente.
¿Cuál es la diferencia entre autorización específica y general?
Según el artículo 28(2) del RGPD, el responsable del tratamiento puede otorgar autorización específica (aprobando individualmente a cada subencargado del tratamiento antes de su contratación) o autorización general (otorgando permiso general al responsable del tratamiento para utilizar subencargados, sujeto a un mecanismo de notificación y oposición). Con la autorización general, el encargado del tratamiento debe informar al responsable del tratamiento de cualquier cambio previsto en los subencargados y darle la oportunidad de oponerse antes de que el cambio surta efecto. El contrato debe indicar claramente qué modelo se aplica.
¿Puede un procesador negarse a revelar los nombres de los subcontratistas?
La guía del Anexo B permite que los nombres no se divulguen públicamente si ello aumenta el riesgo para la seguridad, siempre que se divulguen bajo un acuerdo de confidencialidad o a petición del interesado. Sin embargo, el encargado del tratamiento no puede negarse a revelar los nombres al cliente, ya que el responsable del tratamiento necesita esta información para cumplir con sus propias obligaciones. La lista de países debe divulgarse siempre sin restricciones. En la práctica, la mayoría de los clientes esperan que se incluyan los nombres completos de los subcontratistas como parte del acuerdo de tratamiento de datos o una lista pública de subencargados del tratamiento.
Los equipos de compras utilizan estos controles para evaluar a los procesadores; consulte nuestra guía de requisitos de adquisición y guía de evaluación de proveedores.
Nuestro Guía de requisitos de evidencia de auditoría Detalla qué tipo de documentación esperan los auditores de los subcontratistas.
