¿Qué requiere el control A.3.12?
Las respuestas a los incidentes de seguridad de la información relacionados con el procesamiento de información de identificación personal deberán ajustarse a los procedimientos documentados.
Este control se encuentra dentro del Controles de seguridad compartidos anexo (A.3) y trabaja de la mano con A.3.11 Gestión de incidentes, que abarca la planificación y la preparación. Donde A.3.11 Gestión de incidentes A.3.12 garantiza que usted tenga un plan, y A.3.12 garantiza que lo siga cuando ocurra un incidente real.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.12) proporciona directrices separadas para los responsables del tratamiento y los encargados del tratamiento:
Para controladores de PII
- Evaluación de la violación — Un incidente de información personal identificable (PII) debería dar lugar a una revisión para determinar si se ha producido una violación que requiera una respuesta formal.
- Notificaciones claras — Las notificaciones a las autoridades de supervisión y a las personas afectadas deben ser claras, incluir un punto de contacto para obtener más información, describir la naturaleza y las consecuencias de la infracción y detallar las medidas adoptadas o propuestas.
- Historial completo de infracciones — Mantener un registro que contenga: descripción de la violación, período de tiempo, consecuencias, quién la reportó, medidas tomadas para abordarla y la información personal identificable que se vio comprometida.
Para procesadores de PII
- Notificación basada en contrato — Siga las disposiciones de notificación acordadas en el contrato del cliente (responsable del tratamiento).
- Limitaciones de alcance — La obligación de notificación no se extiende a los incumplimientos causados por el propio cliente (responsable del tratamiento).
- Tiempos de respuesta definidos — Acordar y documentar los plazos de respuesta para la notificación de incumplimientos al responsable del tratamiento.
¿Cómo se relaciona esto con el RGPD?
El control A.3.12 se asigna a GDPR Los artículos 33(1-5) que regulan la notificación de violaciones de datos personales a las autoridades de control, y los artículos 34(1-2) que regulan la comunicación de violaciones a los interesados. GDPR Requiere que las notificaciones de violación de datos incluyan la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las posibles consecuencias y las medidas adoptadas para abordar la violación.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.13.1.5, que abordaba la respuesta a incidentes de seguridad de la información. La edición de 2025 mantiene los requisitos principales como A.3.12 con una separación más clara de las responsabilidades del controlador y del procesador en la guía B.3.12. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.12, los auditores generalmente buscarán lo siguiente:
- Registro de infracciones — Un registro actualizado de todos los incidentes de información personal identificable (PII), incluidos aquellos evaluados y considerados como no constitutivos de una violación que deba ser notificada.
- Registros de notificaciones — Copias de las notificaciones enviadas a las autoridades de supervisión y a las personas afectadas, con marcas de tiempo que demuestren el cumplimiento de los plazos requeridos.
- Documentación de evaluación — Registros que muestren cómo se evaluó la gravedad de cada incidente y si cumplió con el umbral para la notificación.
- Lecciones aprendidas — Evidencia de que los incidentes se revisan después de su resolución y de que las mejoras se incorporan al proceso de gestión de incidentes.
- Notificaciones del procesador — Cuando corresponda, registros de notificaciones de incumplimiento recibidas de o enviadas a los procesadores, con evidencia de que se cumplieron los plazos contractuales.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.11 Planificación de incidentes | Establece los procedimientos documentados que A.3.12 le exige seguir. |
| A.3.14 Protección de registros | Los registros de violaciones de seguridad deben protegerse contra pérdidas, destrucción o acceso no autorizado. |
| A.3.13 Requisitos legales y contractuales | Las obligaciones de notificación están determinadas por los requisitos legales aplicables. |
| A.3.10 Acuerdos con proveedores | Los plazos de notificación de incumplimientos por parte del procesador deben definirse en los acuerdos con los proveedores. |
| A.3.15 Revisión independiente | Las revisiones deben evaluar si los procedimientos de respuesta a incidentes son eficaces. |
¿A quién se aplica este control?
A.3.12 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales, aunque con responsabilidades diferentes. Los responsables del tratamiento son responsables de evaluar la gravedad de la violación de seguridad, notificar a las autoridades de control y comunicarse con los interesados afectados. Los encargados del tratamiento deben notificar a sus responsables del tratamiento con prontitud y dentro de los plazos acordados, pero generalmente no son responsables de notificar directamente a las autoridades de control ni a los interesados, si bien algunas jurisdicciones pueden exigirles que notifiquen a las autoridades reguladoras las violaciones de seguridad de datos personales.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para la respuesta a incidentes de información de identificación personal?
SGSI.online Proporciona herramientas prácticas para gestionar las filtraciones de información personal identificable (PII), desde su detección hasta su resolución:
- Flujos de trabajo guiados para la gestión de incidentes — Flujos de trabajo de respuesta paso a paso que garantizan que no se pase nada por alto, desde la clasificación inicial hasta la evaluación, la notificación y el cierre.
- Registro de infracciones — Un registro exhaustivo que cumpla con los requisitos de mantenimiento de registros de la norma, incluyendo la descripción de la infracción, el cronograma, las consecuencias, la información de identificación personal afectada y las medidas correctivas.
- Seguimiento de plazos de notificación — Temporizadores de cuenta regresiva automatizados para plazos reglamentarios como el plazo de 72 horas del RGPD, con alertas de escalamiento.
- Recolección de evidencias — Adjunte documentos justificativos, capturas de pantalla y comunicaciones a cada registro de incidente para obtener un registro de auditoría completo.
- Revisión posterior al incidente — Registre las lecciones aprendidas y vincule las acciones correctivas a su registro de riesgos y plan de mejora.
- Coordinación controlador-procesador — Flujos de trabajo de notificación estructurados entre controladores y procesadores con seguimiento de marcas de tiempo
Preguntas Frecuentes
¿Cuál es la diferencia entre un incidente de información personal identificable (PII) y una violación de datos personales identificables (PII)?
Un incidente de PII es cualquier evento que pueda afectar la seguridad de los datos personales. Una violación de PII es un incidente confirmado en el que la PII se ha visto comprometida por acceso, divulgación, alteración, pérdida o destrucción no autorizados. No todos los incidentes resultan en una violación. El paso de evaluación en A.3.12 está diseñado específicamente para determinar si un incidente ha superado el umbral para convertirse en una violación que deba notificarse.
¿Qué debe incluir una notificación de violación de seguridad?
Según la guía de implementación y el artículo 33(3) del RGPD, una notificación de violación de seguridad debe incluir: una descripción de la naturaleza de la violación, un punto de contacto designado para obtener más información, una descripción de las posibles consecuencias y una descripción de las medidas adoptadas o propuestas para abordar la violación. La información puede proporcionarse por fases si no está disponible en su totalidad en el momento de la notificación inicial.
¿Debe el procesador notificar directamente a los interesados?
No. La obligación del encargado del tratamiento es notificar al responsable del tratamiento sin demora indebida. El responsable del tratamiento evalúa la infracción y determina si es necesario notificar a las autoridades de control y a los interesados. No obstante, el encargado del tratamiento debe documentar la infracción y la notificación enviada al responsable del tratamiento, y debe haber acordado plazos de respuesta en el contrato de tratamiento.
Comprenda las implicaciones de costos totales de los incidentes de privacidad en nuestro Costo del incumplimiento frente a la certificación análisis.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para la documentación de incidentes que esperan los auditores.
