¿Qué requiere el control A.3.17?
El personal de la organización y las partes interesadas pertinentes recibirán la formación y capacitación adecuadas en materia de seguridad de la información, así como actualizaciones periódicas de la política de seguridad de la información de la organización, las políticas y los procedimientos específicos sobre el tema, según corresponda a su función laboral, en lo que respecta al tratamiento de datos de identificación personal.
Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3) y reconoce que incluso los mejores controles técnicos fallan si quienes los operan no comprenden sus responsabilidades. La capacitación debe adaptarse al rol de cada persona y actualizarse periódicamente, no impartirse como un ejercicio puntual.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.17) proporciona la siguiente orientación:
- Sensibilización sobre la notificación de incidentes — Sensibilizar sobre cómo reconocer y reportar posibles incidentes de información personal identificable (PII), asegurando que todo el personal comprenda los canales de reporte y la importancia de una escalada oportuna.
- Consecuencias de los incumplimientos — Asegúrese de que el personal esté al tanto de las consecuencias de infringir las normas de privacidad y seguridad, abarcando tres dimensiones:
- Para la organización — Sanciones legales, pérdida de negocio, daños a la reputación
- Para el miembro del personal — Consecuencias disciplinarias, incluido el posible despido.
- Para el director de PII — Daños físicos, materiales y emocionales que puedan sufrir las personas.
- Vea también A.3.19: Escritorio despejado y pantalla despejada para requisitos relacionados
- Formación periódica para el acceso a la información de identificación personal (PII). — Incluir capacitación periódica apropiada específicamente para el personal que tiene acceso a información de identificación personal (PII), que vaya más allá de la concienciación general sobre seguridad.
Las directrices subrayan que la mera concienciación no es suficiente. El personal debe comprender las consecuencias reales del mal manejo de la información personal identificable (PII), no solo las declaraciones de política abstractas, sino también el impacto tangible en las personas cuyos datos se ven comprometidos.
¿Cómo se relaciona esto con el RGPD?
El control A.3.17 se asigna a GDPR Artículo 39(1)(b) (disposición relacionada, no formalmente incluida en el Anexo D), que asigna al Responsable de Protección de Datos la tarea de supervisar el cumplimiento, incluyendo la asignación de responsabilidades, la sensibilización y la formación del personal involucrado en las operaciones de tratamiento. Si bien no todas las organizaciones tienen un DPO, GDPR Deja claro que la formación es una actividad fundamental para el cumplimiento de la normativa.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.4.2.2 (concienciación, educación y formación en seguridad de la información). La edición de 2025 mantiene los requisitos principales como A.3.17, con una separación más clara entre la declaración de control y la guía de implementación en B.3.17. El enfoque tridimensional de la concienciación sobre las consecuencias (organización, miembro del personal, titular de la información personal identificable) sigue siendo una característica distintiva de la guía. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.17, los auditores generalmente buscarán lo siguiente:
- Programa de entrenamiento — Un programa documentado que abarca la concienciación sobre privacidad y seguridad, con contenido adaptado a diferentes roles y niveles de acceso a la información de identificación personal.
- Registros de finalización — Evidencia de que todo el personal pertinente ha completado la capacitación requerida, con fechas, calificaciones (si corresponde) y registros de cualquier recapacitación.
- Actualizaciones regulares — Evidencia de que el contenido de la capacitación se actualiza cuando cambian las políticas y de que el personal es notificado de las actualizaciones de las políticas.
- Capacitación específica para roles — Capacitación adicional para el personal con acceso elevado a información personal identificable o funciones de procesamiento especializadas, más allá de la concienciación general.
- Medición de la eficacia — Evidencia de que el programa de capacitación se evalúa en cuanto a su efectividad, por ejemplo, mediante evaluaciones de conocimientos, simulaciones de phishing o análisis de tendencias de incidentes.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.11 Planificación de la gestión de incidentes | La capacitación debe abarcar cómo reconocer y reportar incidentes de información personal identificable (PII). |
| A.3.18 Acuerdos de confidencialidad | La capacitación refuerza las obligaciones de confidencialidad que el personal ha firmado. |
| A.3.9 Derechos de acceso | El personal con acceso a información personal identificable necesita formación específica sobre sus responsabilidades de acceso. |
| A.3.16 Cumplimiento de las políticas | Los resultados de la revisión de cumplimiento pueden revelar deficiencias en la capacitación que deben abordarse. |
| A.3.12 Respuesta a incidentes | La capacitación en respuesta a incidentes garantiza que el personal conozca su función cuando se produce una violación de seguridad. |
¿A quién se aplica este control?
A.3.17 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Todo el personal que trate datos personales o que pueda afectar a su seguridad necesita la formación adecuada. Esto incluye no solo a los empleados fijos, sino también a los contratistas, el personal temporal y las partes interesadas pertinentes que interactúen con datos personales o con los sistemas que los procesan.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Por qué elegir SGSI.online ¿Para capacitación sobre concienciación sobre la privacidad?
SGSI.online Proporciona herramientas prácticas para crear y mantener una plantilla consciente de la privacidad:
- Gestión de módulos de formación — Crear, asignar y realizar un seguimiento de la finalización de los módulos de capacitación adaptados a diferentes roles y niveles de acceso a la información de identificación personal (PII).
- Programación automatizada — Configure la frecuencia de la formación según el rol, con recordatorios automáticos para la finalización inicial y cursos de actualización periódicos.
- Seguimiento de la confirmación de la política — Asegúrese de que todo el personal lea y acepte las políticas de privacidad actualizadas, con paneles de control de finalización y escalamiento para quienes no respondan.
- Informes de finalización — Generar informes listos para auditoría que muestren quién ha completado la capacitación, cuándo y cualquier requisito pendiente.
- Integración con la gestión de incidentes — Vincula los registros de capacitación con los datos de incidentes para que puedas identificar si las deficiencias en la capacitación contribuyeron a los incidentes de información personal identificable (PII).
- Incorporación de nuevos empleados — Asignar automáticamente la formación en privacidad al personal nuevo como parte del proceso de incorporación.
Preguntas Frecuentes
¿Con qué frecuencia se debe actualizar la formación en materia de privacidad?
La norma exige actualizaciones periódicas, pero no especifica una frecuencia concreta. La mayoría de las organizaciones imparten formación de actualización anual a todo el personal, con formación adicional cuando se producen cambios importantes en las políticas. El personal que desempeña funciones de alto riesgo y maneja información personal sensible puede requerir formación más frecuente. Lo fundamental es demostrar que la formación es continua y se adapta a los cambios, no un evento puntual.
¿Debería la formación abarcar las consecuencias para los directivos de PII?
Sí. La guía de implementación exige específicamente que el personal comprenda las consecuencias de las violaciones de privacidad en tres dimensiones: para la organización, para ellos mismos y para el titular de la información personal. Incluir ejemplos reales de daños a las personas, como el robo de identidad, las pérdidas financieras o el sufrimiento emocional, ayuda al personal a comprender por qué los controles de privacidad son importantes más allá de los requisitos de cumplimiento abstractos.
¿Esto se aplica a los contratistas y al personal temporal?
Sí. El control se aplica al personal de la organización y a las partes interesadas pertinentes. Esto incluye a contratistas, trabajadores temporales, consultores y cualquier otra persona que acceda a información personal identificable (IPI) o a sistemas que la procesen. Se debe impartir capacitación antes de que comiencen a procesar IPI, la cual debe ser adecuada a su función y a la duración de su relación laboral.
Incluya los requisitos de capacitación en su Declaración de aplicabilidad y vincularlas a obligaciones de control específicas.
La formación insuficiente es una de las errores de implementación más comunes — Evítalo integrando la concienciación en tu PIMS desde el principio.
