¿Qué información proporciona el Anexo D?
El Anexo D es un anexo informativo que relaciona las cláusulas y controles de la norma ISO 27701:2025 con los artículos 5 a 35 y 44 a 49 (excluyendo los artículos 36 a 43) de la misma. Reglamento General de Protección de Datos de la UE (GDPR)Muestra cómo la conformidad con los requisitos y controles de la norma puede ser relevante para cumplir con Obligaciones del RGPD.
Importante: Este mapeo es meramente indicativo. Es responsabilidad de la organización evaluar sus propias obligaciones legales y decidir cómo cumplirlas. La implementación de los controles ISO 27701:2025 no garantiza automáticamente el cumplimiento del RGPD, pero proporciona un marco estructurado para demostrar que se han abordado los requisitos clave.
Para obtener una visión más amplia de los cambios clave, consulte Novedades de la norma ISO 27701:2025Para mapear a otros marcos, consulte Anexo C (ISO 29100) y Anexo E (ISO 27018/29151)Para conocer las equivalencias de 2019, consulte la Tabla de correspondencias del Anexo F.
¿Cómo se relacionan las cláusulas del sistema de gestión con el RGPD?
Los requisitos del sistema de gestión de la norma (Cláusulas 4 a 10) se corresponden principalmente con los artículos del RGPD sobre responsabilidad en materia de protección de datos, certificación, evaluaciones de impacto y consulta con la autoridad de control.
| Cláusula ISO 27701:2025 | Artículos clave del RGPD | Tema |
|---|---|---|
| 4.1 Comprender la organización | Artículos 24, 25, 28, 32 | Responsabilidad en materia de protección de datos, códigos de conducta, certificación |
| 4.2 Necesidades de las partes interesadas | Arte. 31, 35 | Cooperación con la autoridad supervisora, consulta sobre la evaluación de impacto en la protección de datos (EIPD) |
| 4.3-4.4 Alcance y PIMS | Art. 32 | Seguridad de procesamiento |
| 5.2 Política de privacidad | Art. 24 | Responsabilidad del responsable del tratamiento |
| 5.3 Funciones y responsabilidades | Art. 27, 37-39 | Representantes de organizaciones no pertenecientes a la UE, designación del DPO y tareas |
| 6.1.2-6.1.3 Evaluación y tratamiento del riesgo | Arte. 32, 35 | Seguridad del procesamiento, evaluación del impacto en la protección de datos |
¿Cómo se relacionan los controles del responsable del tratamiento de datos personales (B.1) con el RGPD?
La función controlador PII Las directrices de aplicación del Anexo B se corresponden ampliamente con los principios fundamentales del RGPD y los derechos de los interesados. Cada control B.1 proporciona directrices de aplicación para el control correspondiente. anexo A control con la misma numeración (por ejemplo, B.1.2.2 es la guía para A.1.2.2).
| Orientación del Anexo B | Anexo A Control | Artículos clave del RGPD | Tema |
|---|---|---|---|
| Nacido en 1.2.2 | A.1.2.2 Identificar y documentar el propósito | Art. 5(1)(b), 32(4) | Limitación de propósito |
| Nacido en 1.2.3 | A.1.2.3 Identificar la base legal | Art. 5(1)(a), 6(1)-(4), 8, 9, 10, 17, 18, 22 | Legalidad, categorías especiales, datos penales, consentimiento de los menores |
| B.1.2.4-5 | A.1.2.4 Determinar el consentimiento, A.1.2.5 Obtener y registrar el consentimiento | Art. 7, 8, 9(2)(a) | Condiciones para el consentimiento |
| Nacido en 1.2.6 | A.1.2.6 Evaluación del impacto en la privacidad | Art. 35 | Evaluación de impacto en la protección de datos y consulta previa |
| Nacido en 1.2.9 | A.1.2.9 Registros de procesamiento | Art. 5(2), 24, 30 | Responsabilidad, registros de actividades de procesamiento |
| B.1.3.3-4 | A.1.3.3 Información para los responsables de PII, A.1.3.4 Proporcionar información | Artículos 11-15, 18, 21 | Transparencia, información a los sujetos de datos |
| Nacido en 1.3.5 | A.1.3.5 Retirar el consentimiento | Art. 7(3), 13, 14, 18 | Derecho a retirar el consentimiento, restricción del tratamiento |
| Nacido en 1.3.6 | A.1.3.6 Objeto al procesamiento | Arte. 13, 14, 21 | Derecho a oponerse |
| Nacido en 1.3.7 | A.1.3.7 Acceso, corrección o supresión | Art. 5(1)(d), 13, 14, 16, 17 | Derecho de acceso, rectificación y supresión |
| Nacido en 1.3.9 | A.1.3.9 Proporcionar copia de la información personal identificable | Art. 15(3-4), 20 | Derecho a la portabilidad de los datos |
| Nacido en 1.3.10 | A.1.3.10 Gestión de solicitudes | Art. 12(3-6), 15 | Procedimientos para el ejercicio de los derechos |
| Nacido en 1.3.11 | A.1.3.11 Toma de decisiones automatizada | Arte. 13, 14, 22 | Toma de decisiones individuales automatizada, elaboración de perfiles |
| B.1.4.2-3 | A.1.4.2 Recopilación de límites, A.1.4.3 Limitar el procesamiento | Art. 5(1)(bc), 25(2) | Limitación de la finalidad, minimización de datos, protección de datos desde el diseño |
| Nacido en 1.4.6 | A.1.4.6 Desidentificación y eliminación | Arte. 5(1)(ce), 6(4)(e), 11, 32 | Minimización de datos, limitación de almacenamiento, seudonimización |
| Nacido en 1.5.2 | A.1.5.2 Base para la transferencia internacional | Artículos 15, 30, 44-49 | Transferencias a terceros países, adecuación, salvaguardias, normas corporativas vinculantes, excepciones |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo se relacionan los controles del procesador de PII (B.2) con el RGPD?
La función Procesador de información personal identificable Las directrices de implementación siguen la misma convención de numeración. Cada referencia B.2 corresponde a su control A.2 correspondiente.
| Orientación del Anexo B | Anexo A Control | Artículos clave del RGPD | Tema |
|---|---|---|---|
| Nacido en 2.2.2 | A.2.2.2 Acuerdo con el cliente | Arte. 28, 35 | Obligaciones del procesador, soporte de DPIA |
| Nacido en 2.2.3 | A.2.2.3 Fines de la organización | Art. 5(1)(ab), 28(3)(a), 29, 32 | Procesamiento bajo autoridad del controlador |
| Nacido en 2.2.4 | A.2.2.4 Marketing y publicidad | Artículo 7(4) | El consentimiento no está condicionado a la prestación del servicio. |
| Nacido en 2.2.7 | A.2.2.7 Registros de procesamiento | Art. 30(2-5) | Registros de actividades de procesamiento (procesador) |
| Nacido en 2.3.2 | A.2.3.2 Obligaciones con los directivos de PII | Art. 15(3), 17(2), 28(3)(e) | Ayudar al responsable del tratamiento con las solicitudes de los interesados |
| Nacido en 2.4.3 | A.2.4.3 Devolución o eliminación de información personal identificable | Art. 28(3)(g), 30(1)(f) | Eliminación o devolución tras la finalización del servicio. |
| Nacido en 2.5.2 | A.2.5.2 Transferencias internacionales | Artículos 44, 46, 48, 49 | Transferencias a terceros países (procesador) |
| Nacido en 2.5.7 | A.2.5.7 Revelación de subcontratistas | Artículo 28(2) | Autorización del subprocesador |
| Nacido en 2.5.8 | A.2.5.8 Contratación de subcontratistas | Art. 28(2-4) | Requisitos contractuales del subprocesador |
| Nacido en 2.5.9 | A.2.5.9 Cambio de subcontratista | Artículo 28(2) | Notificación de cambio de subprocesador |
¿Cómo se relacionan los controles de seguridad compartidos (B.3) con el RGPD?
La función controles de seguridad compartidos Se corresponden principalmente con el artículo 5(1)(f) del RGPD (integridad y confidencialidad) y el artículo 32 (seguridad del tratamiento). Cada referencia B.3 se corresponde con su control A.3 correspondiente.
| Orientación del Anexo B | Controles del Anexo A | Artículos clave del RGPD | Tema |
|---|---|---|---|
| B.3.5-9 | A.3.5 Clasificación, A.3.6 Etiquetado, A.3.7 Transfer, A.3.8 Identidad, A.3.9 Acceso | Artículo 5(1)(f) | Principio de integridad y confidencialidad |
| B.3.10, B.3.13 | A.3.10 Acuerdos con proveedores, A.3.13 Requisitos legales | Arte. 28, 32 | Obligaciones del procesador, seguridad del procesamiento |
| B.3.11-12 | A.3.11 Gestión de incidentes, A.3.12 Respuesta ante incidentes | Arte. 33-34 | Notificación de violación de seguridad (a la autoridad de control y a los interesados) |
| B.3.14, B.3.16 | A.3.14 Protección de registros, A.3.16 Cumplimiento | Art. 5(2), 24, 32 | Responsabilidad, verificación del cumplimiento |
| B.3.19-25 | A.3.19 Escritorio despejado, A.3.20 Medios de almacenamiento, A.3.21 Eliminación, A.3.22 Puntos finales, A.3.23 Autenticación, A.3.24 Copia de seguridad, A.3.25 Registro de actividad | Art. 5(1)(f), 32(1)(a) | Integridad, confidencialidad, cifrado y seudonimización |
| Nacido en 3.26 | A.3.26 Uso de criptografía | Artículo 32(1)(a) | Cifrado y seudonimización |
| B.3.27-29 | A.3.27 Desarrollo seguro, A.3.28 Seguridad de la aplicación, A.3.29 Arquitectura del sistema | Artículo 25(1) | Protección de datos desde el diseño |
| Nacido en 3.31 | A.3.31 Información de la prueba | Art. 5(1)(f), 32 | Protección de la información de identificación personal en entornos de prueba |
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo debería utilizarse este mapeo en la práctica?
El mapeo del Anexo D es un punto de partida, no una lista de verificación de cumplimiento. A continuación, se explica cómo usarlo eficazmente:
- Análisis de las deficiencias: Si ha implementado los controles ISO 27701:2025, utilice el mapeo para identificar qué artículos del RGPD ya ha abordado y dónde aún quedan lagunas.
- Evidencia de auditoría: Consulte el mapeo al demostrar a las autoridades de supervisión o a los auditores que su PIMS cumple con el RGPD.
- Informes inter-marcos: Utilice el mapeo para generar informes de cumplimiento unificados que muestren cómo un conjunto de controles satisface múltiples requisitos reglamentarios.
- Apoyo de la DPIA: La correspondencia con el Artículo 35 le ayuda a conectar sus evaluaciones de impacto en la privacidad (control A.1.2.6) a los requisitos de DPIA del RGPD
- Planificación de la transición: Si está migrando desde ISO 27701:2019, utilice el mapeo junto con el guía de transición para comprobar la cobertura del RGPD bajo la nueva estructura de control
Recuerde que el cumplimiento del RGPD implica obligaciones que van más allá de lo que abarca cualquier norma individual (por ejemplo, designar una autoridad de control principal, responder a las medidas coercitivas). El mapeo muestra dónde la norma ISO 27701:2025 proporciona apoyo estructurado, no dónde se garantiza el cumplimiento.
¿Por qué elegir SGSI.online ¿Para la alineación con el RGPD y la norma ISO 27701?
SGSI.online Te ayuda a gestionar ambos frameworks en una única plataforma:
- Perspectivas de cumplimiento integradas — Vea cómo los controles de la norma ISO 27701:2025 se corresponden con las obligaciones del RGPD en un único panel de control.
- Biblioteca de evidencias — Adjunte la misma evidencia (políticas, evaluaciones de impacto en la protección de datos, procedimientos de violación de seguridad) tanto a los controles ISO 27701 como a los requisitos del RGPD.
- Seguimiento regulatorio — Manténgase al día con las tendencias de aplicación del RGPD y actualice su PIMS en consecuencia.
- Mapeo de datos — Documente sus actividades de procesamiento, bases legales y transferencias internacionales en un registro estructurado.
- Gestión de infracciones — Realizar un seguimiento de los incidentes desde su detección hasta su notificación, en consonancia con los artículos 33/34 y los controles. A.3.11/A.3.12
Preguntas Frecuentes
¿Implementar la norma ISO 27701:2025 significa que cumplo con el RGPD?
No automáticamente. La norma ISO 27701:2025 proporciona un marco de sistema de gestión que cumple con muchos requisitos del RGPD, pero el cumplimiento del RGPD depende de sus actividades de procesamiento específicas, bases legales y cómo implementa y opera sus controles. El mapeo del Anexo D es indicativo, no un certificado de cumplimiento. Para obtener información detallada sobre cómo la norma cumple con el RGPD, consulte la Guía de cumplimiento del RGPD.
¿Qué artículos del RGPD están cubiertos de forma más exhaustiva por la norma ISO 27701:2025?
Los artículos 5 (principios), 6 (base jurídica), 12-22 (derechos del interesado), 25 (protección de datos desde el diseño), 28 (obligaciones del encargado del tratamiento), 30 (registros del tratamiento), 32 (seguridad), 33-34 (notificación de violación) y 44-49 (transferencias internacionales) tienen amplias correspondencias con los controles de la norma ISO 27701:2025. controles del controlador Ofrecer la cobertura más amplia, abordando los derechos de los interesados, la limitación de la finalidad y los requisitos de base jurídica.
¿Ha cambiado la configuración del RGPD con respecto a la edición de 2019?
El mapeo se ha actualizado para reflejar la nueva numeración de control (anexo AEstructura /B en lugar de las cláusulas 6-8), pero los artículos subyacentes del RGPD cubiertos siguen siendo en general similares. La asignación de 2025 es más granular en algunas áreas debido al conjunto de controles reestructurado. Consulte el comparación completa de los cambios para obtener más detalles.
¿Qué relación existe entre el Anexo A y el Anexo B?
El Anexo A define los controles de privacidad (lo que debe hacer) y el Anexo B proporciona la guía de implementación correspondiente (cómo hacerlo). Comparten la misma numeración: A.1.2.2 es el control y B.1.2.2 es su guía. Ambos anexos son normativos en la edición de 2025. El mapeo del Anexo D hace referencia a la numeración B porque relaciona la guía de implementación con los artículos del RGPD, pero cada control B tiene una contraparte directa en el Anexo A.
Para obtener orientación práctica sobre la implementación de controles de transferencias transfronterizas, consulte nuestra Guía para la transferencia transfronteriza de datos.
Comprenda el panorama financiero completo en nuestro análisis de la Costo del incumplimiento frente a la certificación.
Los DPO pueden encontrar una perspectiva enfocada sobre estas obligaciones en nuestra guía para los DPO.
