¿Qué requiere el control A.3.13?
Los requisitos legales, estatutarios, reglamentarios y contractuales pertinentes a la seguridad de la información relacionada con el tratamiento de datos personales, así como el enfoque de la organización para cumplir con dichos requisitos, deberán estar documentados y esta documentación deberá mantenerse actualizada.
Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3) y establece una obligación fundamental: no se pueden cumplir los requisitos legales si no se han identificado. Este control garantiza que las organizaciones mantengan un registro actualizado de todas las obligaciones aplicables y un enfoque documentado para cumplir con cada una de ellas.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.13) proporciona la siguiente orientación:
- Identificar posibles sanciones — Las organizaciones deben identificar las posibles sanciones legales por incumplimiento de sus obligaciones, incluidas las multas sustanciales que las autoridades supervisoras pueden imponer por incumplimiento.
- Normas internacionales como base contractual — En algunas jurisdicciones, las normas internacionales como la ISO 27701 pueden constituir la base de los acuerdos contractuales entre las partes, proporcionando un marco reconocido para las obligaciones de privacidad.
- Vea también A.3.3: Políticas de seguridad de la información para requisitos relacionados
- Vea también A.3.4: Funciones y responsabilidades en materia de seguridad de la información para requisitos relacionados
Las directrices son deliberadamente amplias porque los requisitos legales específicos varían enormemente según la jurisdicción, el sector industrial y el tipo de información personal que se procesa. El principio es el mismo en todas partes: conozca sus obligaciones y documente cómo las cumple.
¿Cómo se relaciona esto con el RGPD?
El control A.3.13 se asigna a varios GDPR artículos:
- Artículo 5(1)(f) — Principio de integridad y confidencialidad, que sustenta los requisitos de seguridad.
- Artículo 32, apartado 1, letra d) — Un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas.
- Artículo 32 (2) — Evaluar el nivel de seguridad adecuado, teniendo en cuenta los riesgos que presenta el procesamiento.
- Artículo 5 (2) — El principio de responsabilidad, que exige que el controlador sea responsable y demuestre el cumplimiento
- Artículo 32 (1) (b) — Garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas.
En GDPRLas posibles multas por incumplimiento pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros, lo que sea mayor, lo que convierte la identificación de los requisitos legales en una actividad fundamental para el negocio.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por las cláusulas 6.15.1.1 (identificación de la legislación aplicable y los requisitos contractuales) y 6.15.1.5 (regulación de los controles criptográficos). La edición de 2025 consolida estos en un único control (A.3.13), ampliando el alcance para cubrir todos los requisitos legales, estatutarios, reglamentarios y contractuales en un solo lugar. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.13, los auditores generalmente buscarán lo siguiente:
- Registro legal y reglamentario — Un registro documentado que enumere todas las leyes, reglamentos y obligaciones contractuales aplicables relacionadas con el procesamiento de información de identificación personal, incluyendo la jurisdicción y las fechas de entrada en vigor.
- Mapeo de cumplimiento — Evidencia que demuestre cómo cada requisito legal se aborda mediante las políticas, los procedimientos o los controles de la organización.
- Calendario de revisión — Un proceso definido para revisar y actualizar el registro cuando cambian las leyes, se ingresan nuevas jurisdicciones o se firman nuevos contratos.
- Concienciación sobre las sanciones — Documentación que demuestre que la organización comprende las posibles consecuencias del incumplimiento, incluidas las sanciones económicas.
- Historial de versiones — Pruebas de que la documentación se ha mantenido activamente, y no solo se ha creado una vez y se ha olvidado.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.10 Acuerdos con proveedores | Los requisitos contractuales con los proveedores deben ser identificados y documentados. |
| A.3.11 Planificación de la gestión de incidentes | Los procedimientos de notificación de violaciones de seguridad deben tener en cuenta los plazos legales aplicables. |
| A.3.16 Cumplimiento de las políticas | Las revisiones periódicas verifican que se estén cumpliendo los requisitos legales en la práctica. |
| A.3.14 Protección de registros | Los registros legales y de cumplimiento normativo deben protegerse y conservarse adecuadamente. |
| A.3.15 Revisión independiente | Las auditorías independientes pueden verificar que el mapeo del cumplimiento legal sea preciso. |
¿A quién se aplica este control?
A.3.13 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento suelen tener obligaciones legales más amplias (leyes de protección de datos, normativas sectoriales, compromisos contractuales con los interesados), mientras que los encargados del tratamiento también deben identificar sus propias obligaciones en virtud de los acuerdos de tratamiento y la legislación aplicable. Ambos roles requieren un registro de cumplimiento actualizado.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para el seguimiento de los requisitos legales y reglamentarios?
SGSI.online Proporciona herramientas prácticas para mantener su registro de cumplimiento y demostrar una concienciación continua:
- Registro reglamentario — Mantener un registro estructurado de todas las leyes, reglamentos y requisitos contractuales aplicables, con etiquetado jurisdiccional y fechas de entrada en vigor.
- Mapeo de cumplimiento — Vincule cada requisito legal con las políticas, los controles y las pruebas específicas que demuestren su cumplimiento.
- Recordatorios de revisión automatizados — Establezca ciclos de revisión para que su registro se revise a intervalos planificados, con asignaciones de tareas para las actualizaciones.
- Gestión del cambio — Realice un seguimiento de los cambios legislativos y las nuevas obligaciones contractuales con el historial de versiones y la pista de auditoría.
- Alineación de múltiples marcos — Mapear los requisitos legales en ISO 27701, ISO 27001,RGPD y otros marcos normativos en una sola visión
Preguntas Frecuentes
¿Con qué frecuencia debe revisarse el registro de requisitos legales?
La norma exige que la documentación se mantenga actualizada. Como mínimo, las organizaciones deben revisar el registro anualmente y siempre que se produzca un cambio significativo, como entrar en una nueva jurisdicción, lanzar un nuevo producto que procese información personal identificable o cuando se modifique la legislación pertinente. Vincular las revisiones a los ciclos de revisión de la dirección ayuda a garantizar que se realicen de forma sistemática.
¿La certificación ISO 27701 satisface las obligaciones contractuales de cumplimiento?
La guía de implementación señala que, en algunas jurisdicciones, las normas internacionales como la ISO 27701 pueden servir de base para acuerdos contractuales. Si bien la certificación demuestra un sistema sólido de gestión de la privacidad, los contratos individuales pueden imponer requisitos adicionales que van más allá de la norma. Cada obligación contractual debe evaluarse individualmente e incluirse en el registro de cumplimiento.
¿Cuáles son las consecuencias de no identificar los requisitos legales aplicables?
No identificar los requisitos legales aplicables puede acarrear multas cuantiosas por parte de las autoridades de supervisión, reclamaciones por incumplimiento contractual de clientes y socios, pérdida de negocio y daños a la reputación. Según el RGPD, las multas pueden alcanzar hasta el 4 % de la facturación global anual. Más allá de las sanciones económicas, el desconocimiento de un requisito legal no exime de responsabilidad en los procedimientos de ejecución.
Vea nuestro análisis de la Costo del incumplimiento frente a la certificación por el impacto financiero del incumplimiento normativo.
Las organizaciones que manejan múltiples marcos de trabajo deberían leer ISO 27701:2025 vs SOC 2: ¿Cuál necesita?.
