Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.19: Escritorio despejado y pantalla despejada

El control A.3.19 exige que las organizaciones definan y apliquen normas para mantener el escritorio y la pantalla despejados en las instalaciones de procesamiento de información que manejan datos personales identificables (DPI). Este control compartido reduce el riesgo de acceso no autorizado a datos personales que quedan visibles en los espacios de trabajo físicos y digitales.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.19?

Se deberán definir y hacer cumplir adecuadamente las normas sobre el orden de los documentos y los soportes de almacenamiento extraíbles en los escritorios, así como las normas sobre el orden de las pantallas en los centros de procesamiento de información.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda un riesgo aparentemente sencillo pero de gran impacto: la información personal identificable (PII) que queda a la vista en escritorios o pantallas puede ser vista, fotografiada o sustraída por cualquier persona con acceso físico o visual al espacio de trabajo. La aplicación de políticas de escritorios y pantallas despejadas crea una disciplina básica de seguridad física que complementa los controles de acceso técnicos.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.19) proporciona la siguiente orientación:

  • Minimizar la creación de copias impresas — La organización debe limitar la creación de material impreso, incluidos los datos de identificación personal, al mínimo necesario para cumplir con la finalidad de procesamiento identificada.
  • medios de almacenamiento extraíbles — Las normas de escritorio despejado deben abarcar explícitamente los medios extraíbles, como unidades USB, discos duros externos y discos ópticos que puedan contener información de identificación personal (PII).
  • Bloqueo de pantalla — Los centros de procesamiento de información deben estar configurados para bloquear las pantallas automáticamente después de un período definido de inactividad, y el personal debe recibir capacitación para bloquear las pantallas manualmente cuando abandone su puesto de trabajo.
  • Vea también A.3.18: Acuerdos de confidencialidad o de no divulgación para requisitos relacionados

Las directrices refuerzan la idea de que la privacidad debe ser la norma: si la información personal no necesita estar en formato físico, no debería crearse. Cuando el uso de copias impresas es inevitable, las normas de seguridad en el escritorio garantizan que estas se mantengan protegidas cuando no se estén utilizando.

¿Cómo se relaciona esto con el RGPD?

El control A.3.19 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige que los datos personales se traten de forma que se garantice la seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales.

Las políticas de escritorio y pantalla despejados son una implementación práctica del Artículo 5(1)(f), que previene el acceso casual u oportunista a la información de identificación personal en espacios de trabajo físicos y digitales.

Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la Cláusula 6.8.2.9 (política de escritorio y pantalla limpios). La edición de 2025 mantiene los requisitos principales como A.3.19 con la guía de implementación consolidada en B.3.19. El énfasis en minimizar la creación de copias impresas de PII es una adición notable específica de privacidad. Ver la Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.19, los auditores generalmente buscarán lo siguiente:

  • Política de escritorio y pantalla despejados — Una política documentada que defina reglas específicas para la seguridad de documentos, soportes extraíbles y pantallas cuando las estaciones de trabajo estén desatendidas.
  • Configuración automática del bloqueo de pantalla — Evidencia de que los sistemas de procesamiento de información están configurados para bloquearse después de un tiempo de inactividad definido (normalmente de 5 a 15 minutos).
  • Medidas de seguridad física — Cajones, armarios o almacenamiento seguro con cerradura para documentos que contengan información personal identificable (PII).
  • Concientización del personal — Registros de capacitación que demuestren que el personal comprende y ha recibido capacitación sobre los requisitos de escritorio y pantalla despejados.
  • Verificaciones de cumplimiento — Registros de inspecciones periódicas del lugar de trabajo o controles aleatorios para verificar el cumplimiento de las normas sobre el orden y la limpieza del escritorio.

¿Cuáles son los controles relacionados?

Control Relación
A.3.5 Clasificación de la información Las etiquetas de clasificación indican qué documentos deben guardarse bajo estrictas normas de seguridad.
A.3.17 Concienciación y formación La formación del personal debe abarcar las obligaciones relativas al escritorio y la pantalla.
A.3.20 Medios de almacenamiento Dejar soportes extraíbles sobre los escritorios es una clara infracción.
A.3.22 Dispositivos terminales de usuario Las políticas de dispositivos de punto final deben incluir requisitos de bloqueo de pantalla.
A.3.16 Cumplimiento de las políticas Las comprobaciones periódicas de cumplimiento deben incluir auditorías de escritorio y pantalla limpios.

¿A quién se aplica este control?

A.3.19 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Toda organización que trate datos personales en espacios de trabajo físicos o digitales debe definir y aplicar normas sobre el orden y la visibilidad de las pantallas. Esto es especialmente importante en oficinas diáfanas, espacios de trabajo compartidos, entornos de coworking y cualquier lugar donde personas no autorizadas puedan tener acceso visual a pantallas o documentos.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para cumplir con el cumplimiento de las normas sobre escritorio ordenado y pantalla limpia?

SGSI.online Proporciona herramientas prácticas para implementar y mantener políticas de escritorio ordenado y pantalla despejada:

  • Plantillas de políticas — Plantillas prediseñadas de políticas de escritorio y pantalla despejados que puede personalizar según los requisitos específicos de su organización y los tipos de espacios de trabajo.
  • Campañas de sensibilización — Programar y realizar un seguimiento de las comunicaciones de concienciación del personal, asegurándose de que todo el personal comprenda sus responsabilidades en cuanto a mantener el escritorio y la pantalla ordenados.
  • Listas de verificación de cumplimiento — Crear y gestionar listas de verificación de inspección del lugar de trabajo para controles periódicos aleatorios, registrando los resultados como evidencia de auditoría.
  • Seguimiento del entrenamiento — Registrar la finalización de la capacitación sobre escritorio y pantalla ordenados para cada miembro del personal, con recordatorios automáticos para la capacitación pendiente.
  • Registro de incidentes — Registrar y realizar un seguimiento de las infracciones de escritorio despejado como eventos de seguridad, lo que permite el análisis de tendencias y la corrección específica.

Preguntas Frecuentes

¿Qué debería abarcar una política de escritorio ordenado?

Una política de escritorio ordenado debe especificar que todos los documentos y soportes de almacenamiento extraíbles que contengan información personal identificable (IPI) deben guardarse en cajones o armarios con llave cuando no se utilicen. Debe abarcar los procedimientos de fin de jornada, las normas para abandonar los puestos de trabajo durante el día, la eliminación de residuos confidenciales y el manejo de impresoras y fotocopiadoras compartidas. La política también debe abordar las áreas de acceso para visitantes donde los documentos con IPI puedan estar a la vista.

¿Cuál es el tiempo de espera recomendado para el bloqueo de pantalla?

La mayoría de los marcos de seguridad recomiendan un tiempo de espera de bloqueo automático de pantalla de entre 5 y 15 minutos de inactividad. Las organizaciones que procesan categorías sensibles de información personal identificable (como datos de salud o registros financieros) pueden optar por un tiempo de espera menor. Este tiempo de espera debe aplicarse de forma centralizada mediante directivas de grupo o la administración de dispositivos móviles, y no debe ser configurable por los usuarios finales.

¿Cómo se aplican las normas sobre el orden en el escritorio a los trabajadores remotos?

Las normas de orden en el escritorio se aplican por igual a quienes trabajan a distancia y desde casa. Las organizaciones deben proporcionar orientación sobre cómo proteger los documentos de identificación personal (PII) en el hogar, incluyendo el almacenamiento con llave cuando sea posible. Se debe recordar a los trabajadores remotos que los familiares y visitantes no están autorizados a ver la información de identificación personal. Se deben aplicar filtros de privacidad y bloqueo automático de pantalla a todos los dispositivos utilizados para el teletrabajo.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.