¿Qué requiere el control A.3.18?
Los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para la protección de la información de identificación personal deberán ser identificados, documentados, revisados periódicamente y firmados por el personal y otras partes interesadas pertinentes.
Este control se encuentra dentro del Controles de seguridad compartidos Anexo (A.3) y establece una garantía contractual fundamental: toda persona que tenga acceso a información personal debe estar formalmente sujeta a obligaciones de confidencialidad. Esto crea una base legal clara para exigir el cumplimiento de las responsabilidades de protección de datos a nivel individual.
¿Qué dice la guía de implementación del Anexo B?
El Anexo B (sección B.3.18) proporciona la siguiente orientación:
- Asegúrese de que el acceso a la información de identificación personal esté regido por obligaciones de confidencialidad. — Todas las personas que tengan acceso a información personal identificable deben estar sujetas a una obligación de confidencialidad, ya sea mediante un contrato de trabajo, un acuerdo de confidencialidad independiente o un acuerdo equivalente.
- Especificar la duración de la obligación — Indique claramente cuánto tiempo se aplican las obligaciones de confidencialidad, que pueden extenderse más allá del final del empleo o del período contractual.
- Requisitos específicos del procesador — Para los encargados del tratamiento, el acuerdo de confidencialidad debe garantizar que los empleados y agentes cumplan con las políticas de la organización en materia de tratamiento y protección de datos.
- Vea también A.3.19: Escritorio despejado y pantalla despejada para requisitos relacionados
Las directrices dejan claro que la confidencialidad no es solo una expectativa cultural, sino que debe ser un compromiso documentado y firmado con una duración definida, de modo que las obligaciones se mantengan vigentes incluso tras cambios de funciones, la rescisión del contrato laboral o su vencimiento.
¿Cómo se relaciona esto con el RGPD?
El control A.3.18 se asigna a varios GDPR artículos:
- Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige medidas de seguridad adecuadas, incluida la protección contra la divulgación no autorizada.
- Artículo 28 (3) (b) — Los encargados del tratamiento deben garantizar que las personas autorizadas a tratar datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
- Artículo 38(5) (disposición relacionada, no incluida formalmente en el Anexo D) — El responsable de protección de datos está obligado a guardar secreto o confidencialidad en relación con el desempeño de sus funciones.
El artículo 28(3)(b) es particularmente significativo porque convierte los compromisos de confidencialidad en un elemento obligatorio de los acuerdos de procesamiento, y no en una buena práctica opcional.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.10.2.4 (acuerdos de confidencialidad o no divulgación). La edición de 2025 mantiene los requisitos principales como A.3.18 con una separación más clara entre la declaración de control y la guía de implementación en B.3.18. El énfasis en especificar la duración de las obligaciones y garantizar el cumplimiento de los empleados del procesador sigue siendo fundamental. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.18, los auditores generalmente buscarán lo siguiente:
- Registro de acuerdos de confidencialidad/NDA — Una lista actualizada de todas las personas que han firmado acuerdos de confidencialidad, incluyendo la fecha de firma, la versión del acuerdo y la fecha de vencimiento o revisión.
- Acuerdos firmados — Copias de los acuerdos firmados por todo el personal y las partes interesadas pertinentes con acceso a la información de identificación personal (PII).
- Contenido del acuerdo — Que los acuerdos especifiquen el alcance de la confidencialidad, los tipos de información cubiertos, la duración de las obligaciones y las consecuencias del incumplimiento.
- Evidencia de revisión periódica — Registros que demuestren que los acuerdos se revisan a intervalos planificados y se actualizan cuando cambian los requisitos.
- Cobertura para todos los tipos de acceso. — Acuerdos que abarcan al personal permanente, contratistas, trabajadores temporales, consultores y cualquier otra parte con acceso a información de identificación personal (PII).
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.9 Derechos de acceso | Se deben firmar acuerdos de confidencialidad antes de otorgar acceso a la información de identificación personal. |
| A.3.17 Concienciación y formación | La formación debe reforzar las obligaciones a las que el personal se ha comprometido en sus acuerdos. |
| A.3.10 Acuerdos con proveedores | Los contratos con los proveedores deben exigir que el personal del proveedor firme acuerdos de confidencialidad. |
| A.3.13 Requisitos legales y contractuales | Las obligaciones de confidencialidad pueden estar determinadas por requisitos legales o contractuales. |
| A.3.14 Protección de registros | Los acuerdos firmados deben almacenarse de forma segura y conservarse durante el período apropiado. |
¿A quién se aplica este control?
A.3.18 es un control compartido Esto se aplica tanto a los responsables del tratamiento de datos personales como a los encargados del tratamiento de datos personales. Los responsables del tratamiento deben garantizar que su propio personal y los terceros estén sujetos a la confidencialidad. Los encargados del tratamiento tienen la obligación adicional de cumplir con lo siguiente: GDPR El artículo 28(3)(b) garantiza que todas las personas autorizadas a procesar datos personales se hayan comprometido a la confidencialidad, lo que convierte este control en un requisito contractual, no solo en una buena práctica.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para gestionar acuerdos de confidencialidad?
SGSI.online Proporciona herramientas prácticas para mantener los acuerdos de confidencialidad en toda su organización:
- Registro de acuerdos — Mantener un registro central de todos los acuerdos de confidencialidad y de no confidencialidad (NDA), con los datos de los firmantes, las fechas, las versiones y los calendarios de revisión.
- Flujos de trabajo de firma digital — Emitir, realizar el seguimiento y recopilar los acuerdos firmados electrónicamente, con recordatorios automatizados para las firmas pendientes.
- Gestión de versiones — Cuando se actualicen las plantillas de acuerdos, realice un seguimiento del personal que utiliza la versión actual y active la nueva firma cuando sea necesario.
- Alertas de caducidad y reseñas — Notificaciones automáticas cuando los acuerdos se acerquen a su fecha de revisión o cuando los períodos de confidencialidad estén a punto de expirar.
- Vinculado a la gestión de accesos — Vincula los acuerdos de confidencialidad a tu registro de control de acceso para que el acceso a la información personal identificable (PII) solo se otorgue una vez que los acuerdos estén vigentes.
Preguntas Frecuentes
¿Cuánto tiempo deben durar las obligaciones de confidencialidad?
La guía de implementación exige que las organizaciones especifiquen la duración de las obligaciones. En muchos casos, las obligaciones de confidencialidad se extienden más allá de la finalización de la relación laboral o del contrato, generalmente entre dos y cinco años, o indefinidamente para datos particularmente sensibles. La duración debe ser proporcional a la sensibilidad de la información personal identificable y al daño potencial que podría ocasionar su divulgación. Puede ser necesario asesoramiento legal para garantizar su aplicabilidad en las jurisdicciones pertinentes.
¿Pueden las cláusulas de los contratos laborales sustituir a los acuerdos de confidencialidad independientes?
Sí, siempre que el contrato de trabajo incluya cláusulas de confidencialidad suficientemente detalladas que cubran específicamente la información personal identificable (IPI), establezcan la duración de las obligaciones y sean adecuadas al puesto del empleado. Muchas organizaciones incluyen una cláusula general de confidencialidad en los contratos de trabajo y la complementan con un acuerdo más detallado sobre IPI para el personal que desempeña funciones de alto riesgo. Lo fundamental es que las obligaciones estén documentadas y firmadas, independientemente del formato del documento.
¿Qué ocurre si una persona se niega a firmar un acuerdo de confidencialidad?
Si una persona se niega a firmar y su puesto requiere acceso a información personal identificable (PII), no se le debe otorgar dicho acceso hasta que el acuerdo esté en vigor. Para los nuevos empleados, la firma del acuerdo de confidencialidad debe ser una condición para el empleo o, al menos, una condición para obtener los derechos de acceso a la PII. Para el personal existente, la organización debe colaborar con los departamentos de Recursos Humanos y Asesoría Legal para resolver la situación, lo que podría implicar la reasignación de la persona a un puesto que no requiera acceso a la PII.
Documente sus requisitos de NDA en su Declaración de aplicabilidad.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría en cuanto a las pruebas de confidencialidad que esperan los auditores.
