¿Qué requiere el control A.3.10?
Se deberán establecer y acordar con cada proveedor los requisitos pertinentes de seguridad de la información relacionados con el procesamiento de datos de identificación personal (PII), en función del tipo de relación con el proveedor.
Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3), que contiene obligaciones tanto para los responsables del tratamiento como para los encargados del tratamiento de datos personales. Reconoce que los datos personales rara vez permanecen dentro de una sola organización: los proveedores, subencargados del tratamiento y socios introducen riesgos que deben gestionarse contractualmente.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.10) proporciona la siguiente orientación:
- Especificar el procesamiento de información de identificación personal (PII) — Los acuerdos deben especificar si se va a procesar información de identificación personal y, en caso afirmativo, las medidas técnicas y organizativas mínimas que el proveedor debe implementar.
- Asignar responsabilidades claramente — La división de responsabilidades entre la organización, sus socios y sus proveedores debe ser explícita e inequívoca.
- Mecanismos de cumplimiento — Proporcionar un mecanismo para garantizar el cumplimiento de los requisitos legales aplicables, como las cláusulas contractuales relativas a las obligaciones de protección de datos.
- Evidencia de auditoría independiente — Considere la posibilidad de exigir un cumplimiento auditado de forma independiente (por ejemplo, Certificación ISO 27001) como una forma de demostrar que los proveedores cumplen con los requisitos de seguridad de la información.
- Guía específica para cada procesador — Cuando la organización actúa como encargado del tratamiento, los contratos con sus propios proveedores (subencargados del tratamiento) deben especificar que la información personal identificable (PII) solo se procesa de acuerdo con las instrucciones del responsable del tratamiento.
La guía subraya que los acuerdos con los proveedores no son solo una formalidad legal, sino el mecanismo principal a través del cual las organizaciones extienden sus controles de privacidad a la cadena de suministro.
¿Cómo se relaciona esto con el RGPD?
El control A.3.10 se asigna a varios GDPR artículos:
- Artículo 5(1)(f) — Integridad y confidencialidad, incluso cuando la información de identificación personal es manejada por terceros.
- Artículo 28 (1) — Los controladores deben utilizar únicamente procesadores que ofrezcan garantías suficientes.
- Artículo 28(3)(ah) — Cláusulas contractuales obligatorias para los acuerdos de procesamiento, incluyendo el objeto, la duración, la naturaleza del procesamiento y las obligaciones de ambas partes.
- Artículo 30, apartado 2, letra d) — Los encargados del tratamiento deben registrar las categorías de tratamiento realizadas en nombre de cada responsable del tratamiento.
- Artículo 32 (1) (b) — Capacidad para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas de procesamiento.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.12.1.1 y 6.12.1.2, que abordaban la política de seguridad de la información para las relaciones con los proveedores y la seguridad dentro de los acuerdos con los proveedores. La edición de 2025 consolida estos en un único control (A.3.10) con una sección de orientación de implementación unificada en B.3.10. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.10, los auditores generalmente buscarán lo siguiente:
- Registro de proveedores — Una lista de todos los proveedores que procesan información de identificación personal (PII), con detalles sobre los datos a los que acceden y la naturaleza del procesamiento.
- Acuerdos de procesamiento de datos — Contratos o cláusulas firmadas que especifiquen los requisitos de seguridad de la información, las responsabilidades y las obligaciones de cumplimiento.
- Registros de debida diligencia — Evidencia de que los proveedores fueron evaluados antes de la contratación, incluyendo cuestionarios de seguridad o verificaciones de certificación.
- Monitoreo continuo — Registros de revisiones periódicas de proveedores, auditorías o verificaciones de recertificación para confirmar el cumplimiento continuo.
- Gestión de subprocesadores — Cuando la organización sea un encargado del tratamiento, documentación que demuestre que los subencargados del tratamiento están obligados contractualmente a seguir las instrucciones del responsable del tratamiento.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.9 Derechos de acceso | El acceso de los proveedores a la información de identificación personal debe regirse por la política de control de acceso de la organización. |
| A.3.13 Requisitos legales y contractuales | Los acuerdos con los proveedores deben reflejar las obligaciones legales y reglamentarias aplicables. |
| A.3.18 Acuerdos de confidencialidad | El personal del proveedor con acceso a información personal identificable debe firmar acuerdos de confidencialidad. |
| A.3.15 Revisión independiente | Las auditorías independientes pueden demostrar el cumplimiento del proveedor en lugar de las auditorías individuales de los clientes. |
| A.3.12 Respuesta ante incidentes | Los acuerdos con los proveedores deben incluir obligaciones de notificación de incumplimiento y plazos de respuesta. |
¿A quién se aplica este control?
A.3.10 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben garantizar que sus encargados del tratamiento y proveedores cuenten con las garantías contractuales adecuadas. Los encargados del tratamiento deben transmitir requisitos equivalentes a sus subencargados, asegurando que los datos personales se traten únicamente de acuerdo con las instrucciones documentadas del responsable del tratamiento.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para gestionar los acuerdos de privacidad de los proveedores?
SGSI.online Proporciona herramientas prácticas para gestionar las relaciones con los proveedores y las obligaciones de privacidad:
- Módulo de gestión de proveedores — Mantener un registro central de todos los proveedores que procesan información de identificación personal (PII), con calificaciones de riesgo, fechas de contrato y calendarios de revisión.
- Seguimiento de contratos — Almacenar y controlar las versiones de los acuerdos de procesamiento de datos con recordatorios de renovación automatizados.
- Flujos de trabajo de debida diligencia — Evalúe a los nuevos proveedores según sus requisitos de seguridad antes de su incorporación, con plantillas de cuestionario configurables.
- Monitoreo continuo — Programar revisiones periódicas de proveedores con asignación de tareas y recopilación de evidencias.
- Informes listos para auditoría — Generar informes de cumplimiento de proveedores que muestren el estado del acuerdo, el historial de revisiones y las acciones pendientes.
- Seguimiento de subprocesadores — Mapea toda la cadena de procesamiento para que sepas exactamente por dónde fluye la información de identificación personal a través de tu red de suministro.
Preguntas Frecuentes
¿Qué debe incluir un acuerdo con un proveedor para el procesamiento de información de identificación personal (PII)?
Como mínimo, el acuerdo debe especificar si se procesan datos de identificación personal (PII), las categorías y el volumen de datos involucrados, las medidas técnicas y organizativas mínimas que el proveedor debe implementar, la asignación de responsabilidades entre ambas partes, los requisitos de notificación de violaciones de seguridad y un mecanismo para verificar el cumplimiento. GDPREl artículo 28(3) enumera las cláusulas contractuales obligatorias que deben abordarse.
¿Puede la certificación ISO 27001 sustituir una auditoría de proveedores?
La guía de implementación menciona específicamente el cumplimiento auditado de forma independiente, como la norma ISO 27001, como mecanismo para demostrar que se cumplen los requisitos de seguridad. Si bien la certificación es una prueba sólida, las organizaciones deben asegurarse de que el alcance de la certificación del proveedor cubra las actividades de procesamiento de información personal identificable (PII) pertinentes. La certificación por sí sola puede no cubrir todos los requisitos específicos de privacidad.
¿En qué se diferencia esto para los procesadores que gestionan subprocesadores?
Cuando su organización actúa como encargado del tratamiento, sus contratos con subencargados deben incluir una cláusula que garantice que la información personal se trate únicamente según las instrucciones del responsable del tratamiento. Usted sigue siendo responsable ante el responsable del tratamiento por las acciones de sus subencargados, por lo que debe aplicarse el mismo rigor contractual y la misma diligencia debida en toda la cadena.
Vea nuestras guías en ISO 27701 como requisito de adquisición y cómo evaluar a los proveedores desde la perspectiva del comprador.
Nuestro Guía de requisitos de evidencia de auditoría Cubre la documentación del proveedor que esperan los auditores.
