¿Qué requiere el control A.3.4?
Las funciones y responsabilidades en materia de seguridad de la información relacionadas con el tratamiento de datos de identificación personal (PII) deberán definirse y asignarse de acuerdo con las necesidades de la organización.
Este control se encuentra dentro del controles de seguridad compartidos (Cuadro A.3), aplicable tanto a los controladores PII como a los procesadores PII. Se basa en A.3.3 Políticas de seguridad de la información garantizando que las políticas allí definidas tengan una clara responsabilidad y titularidad.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.3.4) proporciona orientación detallada sobre las funciones que deben establecerse:
- Punto de contacto con el cliente — Designar un punto de contacto para los clientes en lo que respecta al procesamiento de información personal identificable (PII).
- Punto de contacto principal de PII — Designar un punto de contacto para que los titulares de información personal (interesados) puedan ejercer sus derechos y plantear sus inquietudes.
- Propietario del programa de privacidad — Designar a una o más personas responsables del programa de privacidad, como por ejemplo un Delegado de Protección de Datos (DPD).
- La persona responsable debe ser independientecon la autoridad para desempeñar su función sin conflicto de intereses
- La persona responsable debería tener conocimiento experto del derecho y la práctica de la protección de datos
- La persona responsable debe actuar como la Contacto para las autoridades de supervisión
- Vea también A.3.13: Requisitos legales y reglamentarios para requisitos relacionados
- Vea también A.3.15: Revisión independiente de la seguridad de la información para requisitos relacionados
La guía se alinea estrechamente con GDPR Requisitos del DPO, pero está redactado en términos neutrales en cuanto a la jurisdicción, lo que lo hace aplicable independientemente de las leyes de privacidad bajo las que opere la organización.
¿Cómo se relaciona esto con el RGPD?
El control A.3.4 se asigna (a través de la cláusula 5.3 de la norma ISO 27701) a GDPR Artículos 37-39 (disposiciones relacionadas, no incluidas formalmente en el Anexo D):
- Artículo 37 — Designación del Responsable de Protección de Datos, incluidas las circunstancias en las que debe designarse un Responsable de Protección de Datos.
- Artículo 38 — Posición del DPO, incluyendo independencia, recursos y línea jerárquica
- Artículo 39 — Tareas del DPO, que incluyen informar, asesorar, supervisar el cumplimiento y actuar como enlace con la autoridad supervisora.
Las organizaciones sujetas al RGPD que estén obligadas a designar un Delegado de Protección de Datos (DPD) comprobarán que el cumplimiento del apartado A.3.4 resuelve en gran medida sus obligaciones en materia de DPD, siempre que la persona designada cumpla los requisitos específicos del RGPD en cuanto a experiencia e independencia.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Como control de seguridad compartido, A.3.4 respalda el enfoque más amplio. ISO 29100, marco. La clara asignación de roles y responsabilidades es un mecanismo de gobernanza fundamental que sustenta el principio de rendición de cuentas y garantiza que alguien responda por cada aspecto de la protección de la información personal identificable.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.4, los auditores generalmente buscarán lo siguiente:
- Definiciones de roles — Descripciones documentadas de todas las funciones relacionadas con la privacidad, incluyendo el alcance, la autoridad y las líneas jerárquicas.
- Registros de citas — Evidencia de que se han asignado formalmente funciones a personas específicas (carta de nombramiento del responsable de protección de datos, resolución de la junta directiva, etc.).
- Pruebas de independencia — Demostración de que el responsable del programa de privacidad no tiene un conflicto de intereses (por ejemplo, que no determina también los fines del tratamiento de la información de identificación personal).
- Registros de competencia — Pruebas de la experiencia de la persona designada en protección de datos (cualificaciones, historial de formación, experiencia).
- Documentación del punto de contacto — Datos de contacto publicados para los responsables y clientes de PII, accesibles a través de los avisos de privacidad o el sitio web de la organización.
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.3 Políticas de seguridad de la información | Las políticas definen lo que se debe hacer; las funciones definen quién es responsable de hacerlo. |
| A.3.8 Gestión de identidad | El acceso basado en roles se fundamenta en roles y responsabilidades claramente definidos. |
| A.1.3.3 Información para los responsables de PII Determinación de la información para los titulares de información personal identificable (PII) | Los puntos de contacto para los responsables de PII deben comunicarse como parte de la información que se les proporciona. |
| A.1.2.9 Registros del procesamiento de información personal identificable | Los registros de procesamiento deben identificar a las personas responsables de cada actividad de procesamiento. |
| A.3.5 Clasificación de la información | Los propietarios de la información (un rol definido) son responsables de las decisiones de clasificación. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.3.1.1. La versión de 2025 consolida la guía en una estructura más clara bajo A.3.4/B.3.4 y pone mayor énfasis en el rol equivalente al DPO. Los requisitos de independencia, experiencia y contacto con la autoridad supervisora ahora están ubicados de manera más destacada. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Por qué elegir SGSI.online ¿Para definir las funciones y responsabilidades en materia de privacidad?
SGSI.online Proporciona la estructura para definir, asignar y realizar un seguimiento de la responsabilidad en todo su programa de privacidad:
- Mapeo de la estructura organizativa — Defina las funciones de privacidad con descripciones, alcance y autoridad claros, y asígnelas a personas específicas dentro de la plataforma.
- Matrices RACI — Mapear quién es responsable, rinde cuentas, consultado e informado para cada actividad de control y procesamiento de privacidad.
- Asignación y seguimiento de tareas — Asignar tareas específicas de privacidad a los responsables y realizar un seguimiento de su finalización en función de los plazos establecidos.
- Registros de competencia — Mantener registros de capacitación y cualificaciones para los titulares de funciones relacionadas con la privacidad, junto con sus asignaciones de funciones.
- Informes listos para auditoría — Generar informes que muestren todos los roles de privacidad, sus titulares y las pruebas de su competencia e independencia.
- Segregación de deberes — Configure los controles de acceso dentro de la plataforma para reflejar los requisitos de independencia del DPO/responsable del programa de privacidad.
Preguntas Frecuentes
¿Es obligatorio contar con un Delegado de Protección de Datos según la norma ISO 27701?
La norma ISO 27701 exige la designación de «una o más personas responsables del programa de privacidad», pero no especifica el cargo de Delegado de Protección de Datos (DPD). Sin embargo, si el RGPD se aplica a su organización y cumple con los criterios del artículo 37 (autoridad pública, vigilancia a gran escala o tratamiento a gran escala de categorías especiales de datos), la designación de un DPD es obligatoria. El control de la norma ISO 27701 está diseñado para satisfacer los requisitos del DPD cuando existan, a la vez que ofrece la flexibilidad necesaria para las jurisdicciones que no lo exigen formalmente.
¿Qué significa la independencia en la práctica?
La persona responsable del programa de privacidad no debe ocupar un puesto en el que sus otras responsabilidades generen un conflicto de intereses con su función en materia de privacidad. Por ejemplo, un director de tecnología que determine los fines y los medios del tratamiento de datos no se consideraría independiente. La persona responsable de la privacidad debe reportar a la alta dirección, tener acceso a los recursos necesarios y no recibir instrucciones sobre el ejercicio de sus funciones en este ámbito.
¿Puede una persona desempeñar varios roles relacionados con la privacidad?
Sí, siempre que no exista conflicto de intereses y la persona tenga la capacidad y competencia necesarias para desempeñar todas las funciones asignadas. En organizaciones pequeñas, es común que una misma persona actúe como punto de contacto con el cliente y como principal punto de contacto para la información personal identificable (IPI). Sin embargo, la función de responsable del programa de privacidad no debe combinarse con funciones que determinen los fines y los medios del tratamiento de datos, ya que esto comprometería la independencia.
Los DPO pueden encontrar una descripción general completa de sus responsabilidades según la norma ISO 27701 en nuestra guía para los DPO.
Los CISO que buscan equilibrar las responsabilidades de seguridad y privacidad deberían leer nuestra Guía del CISO sobre la norma ISO 27701:2025.
