Ir al contenido
SGSI.online

ISO 27701:2025 Control A.3.21: Eliminación segura o reutilización de equipos

El control A.3.21 exige que las organizaciones verifiquen que los equipos que contienen medios de almacenamiento con información personal identificable (PII) se hayan borrado de forma segura o se les hayan eliminado los datos confidenciales antes de su eliminación o reutilización. Esto impide la recuperación de PII de hardware dado de baja.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.3.21?

Los equipos que contengan soportes de almacenamiento con información de identificación personal (PII) deberán verificarse para garantizar que se hayan eliminado o sobrescrito de forma segura todos los datos confidenciales y el software con licencia antes de su eliminación o reutilización.

Este control se encuentra dentro del Controles de seguridad compartidos El anexo (A.3) aborda un riesgo crítico al final de la vida útil de los equipos: la información de identificación personal (PII) que permanece en los medios de almacenamiento de equipos dados de baja o reasignados puede recuperarse mediante herramientas forenses fácilmente disponibles. Sin una destrucción de datos verificada, las organizaciones se arriesgan a sufrir importantes filtraciones de datos cada vez que desechan, venden, donan o reasignan hardware.

¿Qué dice la guía de implementación del Anexo B?

El Anexo B (sección B.3.21) proporciona la siguiente orientación:

  • Garantizar la seguridad en la reasignación del almacenamiento — Siempre que se reasigne un espacio de almacenamiento, cualquier información de identificación personal (PII) que residiera previamente en ese espacio de almacenamiento no debe ser accesible para el nuevo usuario o sistema.
  • Abordar los desafíos de eliminación relacionados con el rendimiento — La eliminación explícita de la información de identificación personal (PII) puede resultar poco práctica debido a las limitaciones de rendimiento del sistema, lo que crea el riesgo de que otro usuario pueda acceder a la PII. Este riesgo debe evitarse mediante medidas técnicas específicas.
  • Por defecto, se tratará todo el contenido multimedia como si contuviera información de identificación personal (PII). — Los equipos que contienen soportes de almacenamiento que puedan contener información de identificación personal (IIP) deben tratarse como si la contuvieran, garantizando la aplicación de procedimientos de eliminación seguros independientemente de si se ha confirmado la presencia de IIP.
  • Vea también A.3.5: Clasificación de la información para requisitos relacionados
  • Vea también A.3.6: Etiquetado de la información para requisitos relacionados

El enfoque de precaución que se adopta en la guía es significativo: en lugar de exigir a las organizaciones que determinen si cada equipo contiene realmente información de identificación personal (lo cual puede ser difícil y propenso a errores), la norma recomienda tratar todos los equipos con soportes de almacenamiento como si contuvieran dicha información.

¿Cómo se relaciona esto con el RGPD?

El control A.3.21 se corresponde con lo siguiente: GDPR artículo:

  • Artículo 5(1)(f) — El principio de integridad y confidencialidad, que exige una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales.

No desechar los equipos de forma segura es una de las formas más comunes y visibles en que las organizaciones infringen el Artículo 5(1)(f), lo que a menudo da lugar a medidas coercitivas y multas importantes.

Para ver la correspondencia completa entre el RGPD y la norma ISO 27701, consulte Guía de cumplimiento del RGPD.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.

En la edición de 2019, este requisito estaba cubierto por la cláusula 6.8.2.7 (eliminación segura o reutilización del equipo). La edición de 2025 mantiene los mismos requisitos básicos que A.3.21 con orientación de implementación en B.3.21. El principio de tratar todos los equipos que contienen medios como si contuvieran información de identificación personal sigue siendo una recomendación clave. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.



El potente panel de control de ISMS.online

Comienza tu prueba gratuita

¿Quieres explorar?

Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer

Empezar


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.3.21, los auditores generalmente buscarán lo siguiente:

  • Política de destrucción de datos — Una política documentada que especifique cómo se debe desinfectar el equipo que contiene información de identificación personal antes de su eliminación o reutilización, incluidos los métodos aprobados (por ejemplo, borrado criptográfico, desmagnetización, destrucción física).
  • Certificados de destrucción — Confirmación por escrito de los equipos internos o de los proveedores externos de eliminación de datos de que se ha completado la destrucción de los mismos, idealmente haciendo referencia a los números de serie o activos específicos.
  • Registro de enajenación de activos — Un registro de todos los equipos desechados o reasignados, que incluya el identificador del activo, la fecha de eliminación, el método de destrucción de datos y la persona responsable.
  • Contratos de eliminación de terceros — Cuando la eliminación de datos se subcontrata, se requieren contratos que especifiquen los estándares de destrucción de datos y la responsabilidad, junto con pruebas de la debida diligencia sobre el proveedor de la eliminación.
  • Comprobaciones de verificación — Pruebas de que se ha verificado la destrucción de datos (por ejemplo, controles aleatorios, muestreo o informes de verificación automatizados del software de borrado de datos).

¿Cuáles son los controles relacionados?

Control Relación
A.3.20 Medios de almacenamiento La eliminación es la etapa final del ciclo de vida de los medios de almacenamiento gestionado por A.3.20 Medios de almacenamiento
A.1.4.9 Eliminación Requisitos de eliminación específicos del controlador para los datos de información personal identificable, que complementan la eliminación de equipos físicos.
A.1.4.6 Desidentificación y eliminación Requisitos de eliminación de datos que deben cumplirse antes de la eliminación del equipo.
A.3.10 Acuerdos con proveedores Los proveedores de eliminación de terceros deben estar sujetos a los términos contractuales apropiados.
A.3.14 Protección de registros Los certificados y registros de eliminación deben conservarse como prueba.

¿A quién se aplica este control?

A.3.21 es un control compartido Esto se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento de datos personales. Toda organización que posea o alquile equipos capaces de almacenar datos personales debe garantizar la destrucción segura de dichos datos antes de que el equipo cambie de manos, ya sea mediante su eliminación, venta, donación, devolución (al finalizar el contrato de arrendamiento) o reasignación interna.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para la gestión de la eliminación de equipos?

SGSI.online Proporciona herramientas prácticas para gestionar la eliminación segura y la reutilización de equipos:

  • Seguimiento del ciclo de vida de los activos — Realice un seguimiento de cada pieza de equipo desde su adquisición hasta su eliminación, con actualizaciones de estado e historial de propiedad vinculados a su registro de activos.
  • Flujos de trabajo de eliminación — Activar flujos de trabajo de eliminación que requieren verificación de destrucción de datos antes de que un activo pueda marcarse como dado de baja.
  • Almacenamiento de certificados — Cargue y vincule los certificados de destrucción directamente a los registros de activos, creando un registro de auditoría completo.
  • Administración de suministros — Gestionar a los proveedores externos de eliminación de residuos con registros contractuales, documentación de diligencia debida y revisiones de desempeño.
  • Paquetes de pruebas automatizados — Generar paquetes de evidencia listos para auditoría que combinen registros de activos, registros de disposición y certificados de destrucción para el cumplimiento de A.3.21

Preguntas Frecuentes

¿Qué métodos de destrucción de datos son aceptables?

Entre los métodos aceptables se incluyen el borrado criptográfico (que hace ilegibles los datos cifrados al destruir las claves de cifrado), la sobrescritura segura mediante algoritmos estándar del sector (por ejemplo, las directrices NIST 800-88), la desmagnetización (para soportes magnéticos) y la destrucción física (trituración, aplastamiento o incineración). El método elegido debe ser proporcional a la sensibilidad de la información personal identificable y al tipo de soporte de almacenamiento. Para las unidades de estado sólido (SSD), se prefiere el borrado criptográfico o la destrucción física, ya que la sobrescritura tradicional puede no alcanzar todas las celdas de almacenamiento.

¿Qué ocurre con los equipos arrendados que se devuelven al arrendador?

Los equipos arrendados deben tratarse igual que los equipos desechados: toda la información personal debe borrarse de forma segura antes de su devolución. El contrato de arrendamiento debe especificar las responsabilidades de destrucción de datos y permitir que la organización realice o verifique el borrado de datos antes de que el equipo abandone sus instalaciones. Si el arrendador se encarga de la destrucción, obtenga una confirmación por escrito y los certificados correspondientes.

¿Debería tratarse de forma diferente a los equipos dañados o defectuosos?

Los equipos dañados requieren especial precaución, ya que el borrado de datos mediante software podría no ser posible. Si el soporte de almacenamiento permanece intacto, la destrucción física suele ser la opción más segura. Si el equipo se envía a reparar, la organización debe evaluar si es posible retirar los soportes de almacenamiento que contienen información personal identificable (PII) antes de que el equipo salga de sus instalaciones. Se aplica el principio de precaución de la guía de implementación: si el equipo pudiera contener PII, trátelo como si la contuviera.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.