ISO 27701 – Cláusula 7.2 – Condiciones de Recolección y Procesamiento

La cláusula 27701 de la norma ISO 7.2 describe los requisitos para un procesamiento de PII legal y transparente, incluidos la identificación de propósitos, el establecimiento de una base legal, la obtención y registro del consentimiento y la realización de evaluaciones de impacto sobre la privacidad.

Solicite una demo
Autor
Max Edwards
Actualizado 26 de febrero de 2025
LinkedIn Twitter Twitter

Comprensión de la cláusula 27701 de la norma ISO 7.2: Condiciones para el procesamiento lícito de información personal identificable

La Cláusula 27701 de ISO 7.2 (Condiciones para la recopilación y el procesamiento) contiene orientación sobre cómo probar y documentar que las actividades de procesamiento de PII de la organización son legales y operan dentro de los límites legales pertinentes.

Aquí hay un resumen de la guía específica de cláusulas de ISO, junto con las correspondientes normas del Reino Unido. GDPR citas (tabla de citas vinculadas al final de la página).

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

ISO 27701 Cláusula 7.2.1 – Identificar y documentar el propósito

Objeto de la Cláusula 7.2.1

Las organizaciones deben primero identificar y luego registrar los motivos específicos para procesar la PII que utilizan.

Orientación sobre la Cláusula 7.2.1

Los directores de PII deben estar completamente familiarizados con las diversas razones por las cuales se procesa su PII.

Es responsabilidad de la organización transmitir estas razones a los directores de PII, junto con una "declaración clara" de por qué necesitan procesar su información.

Toda la documentación debe ser clara, completa y fácilmente comprensible para cualquier director de PII que la lea, incluido todo lo relacionado con el consentimiento, así como copias de los procedimientos internos (consulte las cláusulas 27701, 7.2.3 y 7.3.2 de ISO 7.2.8).

Cláusulas relevantes de ISO 27701

  • ISO 27701 7.2.3
  • ISO 27701 7.3.2
  • ISO 27701 7.2.8


Obtenga una ventaja inicial del 81%

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 7.2.2 – Identificar la base legal

Objeto de la Cláusula 7.2.2

Dependiendo de la jurisdicción, es posible que las organizaciones tengan que demostrar que sus actividades de procesamiento de PII son legales antes de que comiencen.

Orientación sobre la Cláusula 7.2.2

Para formar una base legal para el procesamiento de PII, las organizaciones deben:

  • Busque el consentimiento de los directores de PII.
  • Redactar un contrato.
  • Cumplir con otras obligaciones legales diversas.
  • Proteger los 'intereses vitales' de los distintos directores de PII.
  • Garantizar que las tareas que se realizan sean de interés público.
  • Confirmar que el procesamiento de PII es un interés legítimo.

Para cada punto mencionado anteriormente, las organizaciones deberían poder ofrecer una confirmación documentada.

Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).

Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.

Cláusulas relevantes de ISO 27701

  • ISO 27701 7.2.8

ISO 27701 Cláusula 7.2.3: Determinar cuándo y cómo se debe obtener el consentimiento

Objeto de la Cláusula 7.2.3

Las organizaciones deben poder demostrar que el consentimiento para el procesamiento se obtuvo legalmente de los directores de PII.

Orientación sobre la Cláusula 7.2.3

Las organizaciones deberían poder documentar los motivos para solicitar el consentimiento y cómo obtenerlo.

Las estipulaciones de PII varían de una región a otra, por lo que las organizaciones deben tener en cuenta continuamente las leyes y regulaciones locales y/o nacionales que puedan regir cómo obtienen el consentimiento, junto con las condiciones especiales asociadas a ciertos tipos de datos (por ejemplo, niños).

ISO 27701 Cláusula 7.2.4 – Obtener y registrar el consentimiento

Objeto de la Cláusula 7.2.4

Una vez que hayan establecido que se requiere el consentimiento, las organizaciones deben obtenerlo según su conjunto único de requisitos.

Orientación sobre la Cláusula 7.2.4

Las organizaciones deben obtener el consentimiento de manera que les resulte fácil a los sujetos de PII solicitar información sobre cómo se obtuvo (marcas de tiempo, quién lo solicitó, etc.) (consulte la cláusula 27701 de ISO 7.3.3).

El consentimiento se basa en tres estipulaciones legales subyacentes: debe ser proporcionado libremente, relativo a la motivo del procesamiento y claro en su intención.



El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 7.2.5 – Evaluación de impacto en la privacidad

Objeto de la Cláusula 7.2.5

Las evaluaciones del impacto en la privacidad permiten a las organizaciones evaluar las implicaciones para la seguridad de la información al procesar un nuevo conjunto de PII o cambiar la forma en que se procesan los datos existentes.

Orientación sobre la Cláusula 7.2.5

El procesamiento de PII es una función empresarial de alto riesgo que debe evaluarse minuciosamente para garantizar la integridad, autenticidad y legalidad de los datos que se procesan.

Dependiendo de la jurisdicción, algunas organizaciones deberán cumplir con una lista categórica de escenarios en los que se requiere una evaluación del impacto en la privacidad, como por ejemplo:

  • Toma de decisiones automatizada.
  • Procesamiento a nivel empresarial de categorías especiales de PII.
  • Monitorización de grandes áreas públicas.

Las organizaciones deben establecer qué constituye una evaluación de impacto adecuada, que incluye (pero no se limita a):

  1. Qué tipo de PII se almacena.
  2. Dónde se almacena.
  3. Dónde se puede reubicar.

ISO 27701 Cláusula 7.2.6 – Contratos con procesadores de PII

Objeto de la Cláusula 7.2.6

Las organizaciones deben celebrar contratos escritos y vinculantes con cualquier procesador de PII externo que utilice.

Orientación sobre la Cláusula 7.2.6

Cualquier contrato debe garantizar que el procesador de PII implemente toda la información requerida contenida en el Anexo B de ISO 27701, con especial atención a los controles de evaluación de riesgos (ISO 27701 Cláusula 5.4.1.2) y el alcance general de las actividades de procesamiento (consulte ISO 27701 Cláusula 6.12). )

Las organizaciones deben poder justificar la omisión de cualquier control contenido en el Anexo B, en su relación con el procesador de PII (ver ISO 27701 Cláusula 5.4.1.3).

ISO 27701 Cláusula 7.2.7 – Controlador conjunto de PII

Objeto de la Cláusula 7.2.7

Las organizaciones deben describir los detalles de cualquier acuerdo conjunto de procesamiento de PII, con un controlador de PII que lo acompañe; esto incluye medidas de protección generales y todos los requisitos de seguridad asociados.

Orientación sobre la Cláusula 7.2.7

Las funciones y responsabilidades deben ser claras e inequívocas y describirse en un documento legalmente vinculante (a veces denominado "acuerdo de intercambio de datos").

Los acuerdos pueden incluir (entre otras medidas):

  • Por qué se comparte la PII.
  • Categorías de datos.
  • Una descripción general de la operación de procesamiento de PII.
  • Cualquier rol y responsabilidad relevante.
  • Cómo se debe gobernar la seguridad de la información privada.
  • Qué acciones se deben tomar en caso de una violación de datos.
  • Cómo se debe conservar y destruir la PII cuando ya no sea necesaria.
  • Qué ocurre cuando cualquiera de las partes incumple el acuerdo.
  • Cuáles son las obligaciones de cualquiera de las partes con respecto a los directores de PII.
  • ¿Qué mecanismos existen para proporcionar a los directores de PII los detalles aplicables del acuerdo conjunto?
  • Cómo los directores de PII pueden realizar solicitudes oficiales y cómo formular y entregar una respuesta.
  • Puntos de contacto, tanto internos como para que los utilicen los directores de PII.


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 7.2.8 – Registros relacionados con el procesamiento de PII

Objeto de la Cláusula 7.2.8

Las organizaciones deben mantener un conjunto completo de registros que respalden sus acciones y obligaciones como procesadores de PII.

Orientación sobre la Cláusula 7.2.8

Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:

  1. Operativo: el tipo específico de procesamiento de PII que se está llevando a cabo.
  2. Justificaciones: por qué se procesa la PII.
  3. Categórico: listas de destinatarios de PII, incluidas organizaciones internacionales.
  4. Seguridad: una descripción general de cómo se protege la PII.
  5. Privacidad: es decir, un informe de evaluación del impacto sobre la privacidad.

Artículos de apoyo del RGPD

Varios elementos de la cláusula 27701 de ISO 7.2 son aplicables dentro de la legislación GDPR del Reino Unido. Eche un vistazo a la siguiente tabla para ver las referencias correspondientes.

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Artículos relacionados con el RGPD
7.2.1Identificar y documentar el propósito Artículos (5), (32)
7.2.2Identificar la base legal Artículos (5), (6), (8), (9), (10), (17), (18), (22)
7.2.3Determinar cuándo y cómo se debe obtener el consentimiento Artículo (8)
7.2.4Obtener y registrar el consentimiento Artículos (7)(9)
7.2.5Evaluación de impacto de privacidad Artículos (35), (36)
7.2.6Contratos con procesadores de PII Artículos (5), (28)
7.2.7Controlador conjunto de PII Artículo (26)
7.2.8Registros relacionados con el procesamiento de PII Artículos (5), (24), (30)

Cómo ayuda ISMS.online

El proceso de implementación de ISO 27701 puede ser un desafío, especialmente si nunca antes ha asumido un proyecto como este. ¡ISMS.online puede ayudarle!

Nuestros marcos ISO 27701 permiten que su empresa demuestre el cumplimiento de la norma ISO 27701.

Nuestros especialistas en seguridad de la información pueden ayudarlo a crear un procedimiento de implementación lógico que se adhiera al marco.

Descubre más por reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!