Ir al contenido
SGSI.online

Control A.2.5.8 de la norma ISO 27701:2025: Contratación de un subcontratista para el tratamiento de información de identificación personal (PII).

El control A.2.5.8 exige que las organizaciones solo contraten subcontratistas para el tratamiento de datos personales de acuerdo con el contrato con el cliente. Esto garantiza que los acuerdos de subcontratación estén autorizados, regidos contractualmente y sujetos a las mismas obligaciones de privacidad que la relación de tratamiento principal.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.2.5.8?

La organización solo podrá subcontratar el procesamiento de información de identificación personal (PII) de acuerdo con el contrato con el cliente.

Este control se encuentra dentro del Controles del procesador de PII El anexo (A.2) establece la base contractual para el subprocesamiento. Los responsables del tratamiento no pueden delegar libremente el procesamiento de datos personales a subcontratistas. Todo acuerdo de subprocesamiento debe estar autorizado por el contrato con el cliente, y el subcontratista debe estar sujeto a obligaciones de privacidad equivalentes. Esto protege los intereses del responsable del tratamiento a lo largo de toda la cadena de procesamiento.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.2.5.8) proporciona la siguiente orientación:

La guía establece una cadena clara de obligaciones contractuales. El cliente autoriza el subprocesamiento, el procesador suscribe un contrato con el subcontratista, y este último refleja las obligaciones del contrato que el procesador mantiene con el cliente. Las exclusiones de los controles A.2 solo se permiten cuando están justificadas, garantizando así que la protección de la privacidad no disminuya a medida que el procesamiento avanza en la cadena.

¿Cómo se relaciona esto con el RGPD?

El control A.2.5.8 se corresponde con lo siguiente: GDPR artículos:

  • Artículo 28 (2) — El encargado del tratamiento no podrá contratar a otro encargado del tratamiento sin la autorización previa, específica o general, por escrito del responsable del tratamiento.
  • Artículo 28 (4) — Cuando un encargado del tratamiento contrate a otro encargado del tratamiento, se le impondrán mediante contrato las mismas obligaciones de protección de datos que las establecidas en el contrato entre el responsable del tratamiento y el primer encargado del tratamiento, en particular, proporcionando garantías suficientes para aplicar medidas técnicas y organizativas adecuadas.

GDPR El artículo 28, apartado 4, exige la transmisión de las obligaciones: el contrato con el subencargado del tratamiento debe imponerle las mismas obligaciones que el responsable del tratamiento impuso al encargado del tratamiento. Si el subencargado incumple sus obligaciones, el encargado del tratamiento inicial seguirá siendo plenamente responsable ante el responsable del tratamiento.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito se abordó dentro de la estructura de cláusulas más amplia. La edición de 2025 proporciona A.2.5.8 como un control independiente con orientación de implementación en B.2.5.8 que requiere explícitamente que los contratos de subcontratistas aborden todos Cuadro A.2 controla y exige a los subcontratistas que implementen todos los controles A.2 por defecto con exclusiones justificadas. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.2.5.8, los auditores generalmente buscarán lo siguiente:

  • Autorización del cliente — Autorización por escrito de cada cliente para el uso de subcontratistas, ya sea mediante cláusulas contractuales (autorización general) o aprobaciones específicas (autorización específica).
  • Contratos de subcontratistas — Contratos escritos con cada subcontratista que aborden todos los controles A.2 aplicables, con justificaciones documentadas para cualquier exclusión.
  • Flujo descendente de la obligación — Evidencia de que las obligaciones impuestas al procesador por el contrato con el cliente se han transmitido a los contratos de subcontratistas.
  • A.2 Cobertura de control — Un mapa que muestre qué controles A.2 se abordan en cada contrato de subcontratista y la justificación de aquellos que se excluyen.
  • Supervisión del cumplimiento de los subcontratistas — Evidencia de que la organización supervisa el cumplimiento de las obligaciones contractuales de los subcontratistas, como los resultados de las auditorías, el estado de la certificación y las evaluaciones de desempeño.

¿Cuáles son los controles relacionados?

Control Relación
A.2.5.7 Revelación de subcontratistas Los subcontratistas deben ser revelados al cliente antes de la contratación.
A.2.2.2 Acuerdo con el cliente El contrato con el cliente autoriza el subprocesamiento y define las condiciones.
A.2.5.3 Países para la transferencia de información personal identificable Las ubicaciones de procesamiento de los subcontratistas deben estar documentadas y divulgadas.
A.2.4.3 Devolución, transferencia o eliminación Los subcontratistas deben cumplir con los requisitos de eliminación de información personal identificable al finalizar el contrato.
A.2.2.6 Obligaciones del cliente Las pruebas de cumplimiento de los subcontratistas respaldan la responsabilidad del cliente.

¿A quién se aplica este control?

A.2.5.8 se aplica exclusivamente a Procesadores de información personal identificableCuando un procesador contrata a un subcontratista, la información personal identificable (IPI) del responsable del tratamiento pasa por una capa adicional de procesamiento. El responsable del tratamiento necesita tener la seguridad de que esta capa adicional proporciona el mismo nivel de protección que la relación de procesamiento principal. Este control garantiza que el subprocesamiento esté autorizado, regulado contractualmente y sujeto al conjunto completo de controles A.2.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de la contratación de subcontratistas?

SGSI.online Proporciona herramientas prácticas para gestionar la contratación de subcontratistas:

  • Gestión de contratos — Almacenar y gestionar los contratos de subcontratistas con control de versiones, vinculando cada contrato a los controles A.2 aplicables y a las autorizaciones del cliente.
  • Mapeo de controles — Mapear cada contrato de subcontratista con todos los controles A.2, con campos estructurados para documentar la cobertura de los controles y las exclusiones justificadas.
  • Seguimiento de autorizaciones — Realizar un seguimiento de las autorizaciones de los clientes para cada subcontratista, incluyendo el tipo de autorización (específica o general), la fecha de concesión y cualquier condición.
  • Monitoreo de cumplimiento — Supervisar el cumplimiento de los subcontratistas mediante evaluaciones programadas, seguimiento de certificaciones y gestión de resultados de auditorías.
  • Flujo descendente de la obligación — Compare las obligaciones contractuales del cliente con las obligaciones contractuales del subcontratista para verificar que todos los requisitos se hayan transmitido correctamente.

Preguntas Frecuentes

¿Qué debe incluir el contrato con el subcontratista?

El contrato del subcontratista debe abordar todos los controles aplicables desde Cuadro A.2 (controles del Procesador de PII). Esto incluye instrucciones de procesamiento, obligaciones de confidencialidad, medidas de seguridad, apoyo a los derechos del interesado, notificación de violaciones de seguridad, eliminación de datos, disposiciones sobre transferencia transfronteriza y derechos de auditoría. El subcontratista debe implementar todos los controles A.2 por defecto. Cualquier exclusión debe estar documentada y justificada en función del alcance del subprocesamiento. El contrato también debe establecer las mismas obligaciones que el contrato con el cliente impone al procesador.

¿Quién es responsable si el subcontratista incumple sus obligaciones?

Según el RGPD, el encargado del tratamiento inicial sigue siendo plenamente responsable ante el responsable del tratamiento por el cumplimiento de las obligaciones del subcontratista. Si el subcontratista incumple sus obligaciones de protección de datos, el encargado del tratamiento es responsable. Por ello, es fundamental contar con contratos sólidos con los subcontratistas, así como con un control del cumplimiento y derechos de auditoría. El encargado del tratamiento también debe asegurarse de incluir cláusulas de indemnización adecuadas en su contrato con el subcontratista para gestionar el riesgo comercial derivado del incumplimiento por parte de este.

¿Se pueden justificar las exclusiones de los controles A.2?

Sí, pero las exclusiones deben justificarse en función del alcance y la naturaleza del subprocesamiento. Por ejemplo, un subcontratista que solo proporciona alojamiento de infraestructura (sin acceso a información personal identificable) puede excluir justificadamente los controles relacionados con los derechos de los interesados ​​o la divulgación de dicha información. Sin embargo, los controles relacionados con la seguridad, la confidencialidad y la notificación de violaciones de seguridad seguirían siendo aplicables. La justificación debe estar documentada, evaluada en cuanto al riesgo y aprobada. Los auditores examinarán minuciosamente las exclusiones para garantizar que no generen deficiencias en la protección de la privacidad.

Los equipos de compras utilizan estos controles para evaluar a los procesadores; consulte nuestra guía de requisitos de adquisición y guía de evaluación de proveedores.

Nuestro Guía de requisitos de evidencia de auditoría Detalla qué tipo de documentación esperan los auditores de los subcontratistas.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.