¿Qué requiere el control A.2.5.9?
En caso de contar con autorización general por escrito, la organización deberá informar al cliente de cualquier cambio previsto en relación con la incorporación o sustitución de subcontratistas para el tratamiento de datos personales, dando así al cliente la oportunidad de oponerse a dichos cambios.
Este control se encuentra dentro del Transferencia y divulgación de información de identificación personal objetivo (A.2.5), que rige la forma en que los procesadores de PII gestionan el intercambio y la transferencia posterior de los datos personales que les confían sus clientes.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.2.5.9) proporciona la siguiente orientación:
- Cuando la organización cambia de subcontratista, se requiere autorización por escrito del cliente antes de que el nuevo subcontratista procese cualquier información personal identificable (PII).
- Esta autorización puede adoptar la forma de cláusulas contractuales específicas que establecen el proceso de notificación y objeción.
- Alternativamente, puede tratarse de un acuerdo específico único obtenido antes de que el nuevo subcontratista comience a procesar.
- El principio fundamental es que el cliente conserva el control sobre qué entidades procesan su información personal, incluso cuando se ha otorgado una autorización general.
- Vea también A.2.5.2: Base para la transferencia de información personal identificable entre jurisdicciones para requisitos relacionados
- Vea también A.2.5.3: Países y organizaciones internacionales para la transferencia de información personal identificable para requisitos relacionados
Esta guía refuerza la idea de que la autorización general no implica un permiso absoluto. El cliente siempre debe tener derecho a revisar y, en su caso, rechazar los cambios en la cadena de subcontratistas.
¿Cómo se relaciona esto con el RGPD?
El control A.2.5.9 se asigna directamente a Artículo 28(2) del RGPD, que establece que un encargado del tratamiento no podrá contratar a otro encargado del tratamiento sin la autorización previa, específica o general, por escrito del responsable del tratamiento. Cuando se haya otorgado la autorización general por escrito, el encargado del tratamiento deberá informar al responsable del tratamiento de cualquier cambio previsto en relación con la incorporación o sustitución de otros encargados del tratamiento, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios.
Este es uno de los controles más directamente alineados entre ISO 27701:2025 y GDPR, con un lenguaje de control que refleja fielmente la normativa.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Este control admite el siguiente principio de privacidad de la norma ISO 29100:
- Responsabilidad — Mantener una clara rendición de cuentas para el procesamiento de PII a lo largo de toda la cadena de subcontratistas.
- Apertura, transparencia y aviso — Garantizar que el cliente esté informado de los cambios que afectan a cómo se procesa su información personal.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.2.5.9, los auditores generalmente buscarán lo siguiente:
- Registro de subcontratistas — Una lista documentada de todos los subcontratistas actuales contratados para procesar información de identificación personal (PII), con fechas de contratación y alcance del procesamiento.
- Registros de notificaciones — Pruebas de que el cliente fue informado de los cambios previstos en los subcontratistas antes de que entraran en vigor.
- Proceso de objeción — Un procedimiento definido sobre cómo los clientes pueden presentar objeciones a los cambios propuestos, incluidos los plazos.
- Cláusulas del contrato — Acuerdos escritos que establezcan el mecanismo de notificación y objeción para los cambios de subcontratistas.
- Registros de autorización — Prueba de autorización escrita (ya sea general o específica) obtenida de cada cliente.
- Cambia la historia — Un registro de auditoría que muestra todas las adiciones, reemplazos y eliminaciones de subcontratistas a lo largo del tiempo.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.2.5.7 Revelación de subcontratistas | Requiere revelar el uso de subcontratistas antes de que comience el procesamiento. |
| A.2.5.8 Contratación de un subcontratista | Regula los requisitos contractuales al contratar subcontratistas. |
| A.2.2.2 Acuerdo con el cliente | El acuerdo general que define los términos del procesamiento, incluidas las disposiciones relativas a los subcontratistas. |
| A.2.2.3 Fines de la organización | El procesamiento debe mantenerse dentro de los fines acordados con el cliente, incluso cuando cambien los subcontratistas. |
| A.3.10 Acuerdos con proveedores | Requisitos más amplios de gestión de proveedores que se aplican a las relaciones con subcontratistas. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito formaba parte de la cláusula 8.5.8 (cambios en el subcontratista para procesar PII). El contenido del control es sustancialmente el mismo en 2025, pero ahora se encuentra en Cuadro A.2 con una separación más clara entre la declaración de control (A.2.5.9) y la guía de implementación (B.2.5.9). Véase el Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para gestionar los cambios de subcontratistas?
SGSI.online Proporciona herramientas prácticas para gestionar las relaciones con los subcontratistas y los cambios:
- Registro de subcontratistas — Mantener un registro centralizado de todos los subcontratistas que procesan información personal identificable (PII), con el alcance, la ubicación y los detalles del contrato.
- Cambiar flujo de trabajo — Activar flujos de trabajo de notificación cuando se agregan o reemplazan subcontratistas, con pasos de aprobación integrados.
- Comunicación con el cliente — Registrar las notificaciones enviadas a los clientes y hacer un seguimiento de sus respuestas, incluidas las objeciones planteadas.
- Gestión de contratos — Almacenar y controlar las versiones de los acuerdos con subcontratistas junto con los registros de autorización.
- Registro de auditoría — Generar un historial completo de cambios de subcontratistas para evidencia de auditoría e informes de cumplimiento.
Preguntas Frecuentes
¿Cuál es la diferencia entre una autorización escrita general y una específica?
La autorización general por escrito permite al procesador contratar subcontratistas, siempre que notifique al cliente y le dé la oportunidad de oponerse. La autorización específica por escrito exige que el cliente apruebe a cada subcontratista antes de que pueda comenzar el procesamiento. El apartado A.2.5.9 aborda específicamente las obligaciones que surgen cuando se cuenta con una autorización general.
¿Con cuánta antelación se debe avisar antes de un cambio de subcontratista?
La norma ISO 27701:2025 no especifica un plazo mínimo de preaviso, pero el cliente debe tener una oportunidad razonable para oponerse. Lo ideal es definir dicho plazo en el acuerdo de tratamiento de datos. Muchas organizaciones utilizan 30 días como plazo estándar, pero este debe acordarse con cada cliente en función de la sensibilidad y el volumen de información personal identificable (PII) implicada.
¿Qué ocurre si un cliente se opone a un cambio de subcontratista?
Si un cliente se opone, el nuevo subcontratista no debe procesar su información personal. La organización debe contar con un proceso documentado para gestionar las objeciones, que podría incluir mantener al subcontratista actual para ese cliente, ofrecer una alternativa o, en algunos casos, permitir la rescisión del contrato. El resultado específico debe regirse por los términos del acuerdo de procesamiento de datos.
Los equipos de compras utilizan estos controles para evaluar a los procesadores; consulte nuestra guía de requisitos de adquisición y guía de evaluación de proveedores.
Nuestro Guía de requisitos de evidencia de auditoría Detalla qué tipo de documentación esperan los auditores de los subcontratistas.
