Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.14: Protección de registros

El control A.3.14 exige que las organizaciones protejan los registros relacionados con el tratamiento de información personal identificable (PII) contra pérdidas, destrucción, falsificación y acceso no autorizado. Mantener registros fiables es fundamental para la rendición de cuentas según la norma ISO 27701:2025.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.14?

Los registros relacionados con el procesamiento de información de identificación personal deberán estar protegidos contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda un requisito fundamental de gobernanza: los registros que demuestran el cumplimiento de la normativa de privacidad deben ser seguros. Si los registros pueden perderse, alterarse o ser accedidos sin autorización, pierden su valor como prueba de cumplimiento.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.14) proporciona la siguiente orientación:

  • Revisión de políticas históricas — En determinadas situaciones, como al resolver disputas con clientes o al responder a investigaciones de las autoridades de supervisión, puede ser necesario revisar tanto las políticas actuales como las históricas.
  • Conserve copias de la documentación de privacidad. — Conserve copias de las políticas y procedimientos de privacidad durante el período especificado en el calendario de retención de la organización, incluidas las versiones anteriores cuando se actualicen las políticas.

La guía destaca que la protección de registros no se limita a los documentos actuales. Las organizaciones pueden necesitar demostrar qué políticas estaban vigentes en un momento específico; por ejemplo, para demostrar que existían medidas de seguridad adecuadas cuando se produjo una violación de seguridad, o para responder a una queja de un interesado que haga referencia al procesamiento histórico de datos.

¿Cómo se relaciona esto con el RGPD?

El control A.3.14 se asigna a GDPR Artículo 5(2) (principio de responsabilidad) y artículo 24(2) (aplicación de políticas de protección de datos adecuadas). El principio de responsabilidad exige que los responsables del tratamiento puedan demostrar el cumplimiento, lo cual depende enteramente de contar con registros fiables y protegidos. Si los registros se pierden o se manipulan, la organización no puede cumplir con esta obligación.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la cláusula 6.15.1.3 (protección de registros). La edición de 2025 mantiene los requisitos principales como A.3.14 con una separación más clara entre la declaración de control y la guía de implementación en B.3.14. El énfasis en conservar versiones históricas de las políticas de privacidad sigue siendo una característica clave de la guía. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.14, los auditores generalmente buscarán lo siguiente:

  • Política de retención de registros — Una política documentada que especifique cuánto tiempo se conservan los registros de procesamiento de información de identificación personal, incluidos los períodos mínimos de retención para las diferentes categorías de registros.
  • Control de versiones — Evidencia de que las versiones anteriores de las políticas de privacidad, los procedimientos y los registros de procesamiento se conservan y son accesibles, con numeración de versión y fechas claras.
  • Controles de acceso — Restricciones sobre quién puede acceder, modificar y eliminar registros de privacidad, con registro de auditoría de cualquier cambio.
  • Copia de seguridad y recuperación — Pruebas de que los registros están respaldados y pueden recuperarse en caso de fallo del sistema o pérdida de datos.
  • Controles de integridad — Mecanismos para detectar y prevenir la falsificación de registros, como pistas de auditoría, firmas digitales o almacenamiento a prueba de manipulaciones.

¿Cuáles son los controles relacionados?

Control Relación
A.3.9 Derechos de acceso El acceso a los registros de privacidad debe estar restringido al personal autorizado.
A.3.12 Respuesta ante incidentes Los registros de violaciones de seguridad deben protegerse como parte de la gestión de registros de la organización.
A.3.13 Requisitos legales y contractuales Los períodos de retención pueden estar determinados por obligaciones legales.
A.3.15 Revisión independiente Los auditores necesitan acceso a los registros históricos para verificar el cumplimiento continuo.
A.3.16 Cumplimiento de las políticas Las prácticas de protección de registros deben verificarse durante las revisiones de cumplimiento.

¿A quién se aplica este control?

A.3.14 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben proteger los registros que demuestren su cumplimiento con las leyes de protección de datos, incluidos los registros de tratamiento, los registros de consentimiento y las evaluaciones de impacto en la privacidad. Los encargados del tratamiento deben proteger los registros de las actividades de tratamiento realizadas en nombre de los responsables del tratamiento, las notificaciones de violación de seguridad y la documentación contractual.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para proteger los registros de procesamiento de información de identificación personal?

SGSI.online Proporciona herramientas prácticas para mantener registros de privacidad seguros y auditables:

  • Gestión de documentos con control de versiones — Cada política, procedimiento y registro está controlado por versiones con un historial completo de cambios, por lo que siempre puede recuperar la versión que estaba vigente en cualquier momento.
  • Controles de acceso basados ​​en roles — Restringir el acceso a los registros de privacidad por rol, garantizando que solo el personal autorizado pueda ver, editar o exportar documentación confidencial.
  • Registro de auditoría a prueba de manipulaciones — Todos los cambios en los registros se registran con marcas de tiempo e identidades de usuario, lo que proporciona evidencia de integridad.
  • Gestión automatizada de la retención — Establezca períodos de retención para diferentes tipos de registros con alertas antes de su vencimiento, garantizando el cumplimiento de su calendario de retención.
  • Almacenamiento seguro en la nube — Los registros se almacenan con cifrado en reposo y en tránsito, con copias de seguridad automatizadas y recuperación ante desastres.

Preguntas Frecuentes

¿Por qué es importante conservar las versiones anteriores de las políticas de privacidad?

Las autoridades de supervisión o los tribunales podrían necesitar revisar las políticas vigentes en un momento específico, por ejemplo, cuando se produjo una violación de seguridad, cuando se procesaron los datos personales de un titular de datos o cuando se presentó una queja. Sin versiones históricas, la organización no puede demostrar qué medidas de seguridad estaban implementadas. Conservar copias fechadas y con control de versiones de toda la documentación sobre privacidad es fundamental para garantizar la rendición de cuentas.

¿Durante cuánto tiempo deben conservarse los registros de procesamiento de información de identificación personal?

La norma no prescribe un período de retención específico. Este debe definirse en el calendario de retención de la organización, en función de los requisitos legales aplicables, las obligaciones contractuales y las necesidades del negocio. GDPR No se especifican períodos de retención exactos para los registros de cumplimiento, pero las organizaciones deben conservarlos durante el tiempo suficiente para responder a las investigaciones de las autoridades de supervisión y a las quejas de los interesados, que pueden surgir varios años después de que se haya producido el tratamiento de los datos.

¿Qué tipos de registros abarca este control?

Esto abarca todos los registros relacionados con el procesamiento de información personal identificable (PII), incluyendo: registros de actividad de procesamiento, políticas y procedimientos de privacidad, registros de consentimiento, evaluaciones de impacto en la protección de datos, informes de violaciones de seguridad, registros de solicitudes de los interesados, acuerdos con proveedores, registros de capacitación e informes de auditoría. El denominador común es que cualquier registro utilizado para demostrar el cumplimiento de la privacidad debe estar protegido bajo este control.

Nuestro Guía de requisitos de evidencia de auditoría Los mapas detallan los registros específicos que los auditores esperan para cada cláusula y área de control.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.