Cláusula 8.5, Intercambio, transferencia y divulgación de PII

ISO 27701 – Cláusula 8.5 – Intercambio, transferencia y divulgación de PII

La cláusula 27701 de la norma ISO/IEC 8.5 describe los requisitos que deben cumplir las organizaciones para compartir, transferir y divulgar información de identificación personal (PII), garantizando el cumplimiento de las obligaciones legales, reglamentarias y contractuales y, al mismo tiempo, manteniendo la transparencia y salvaguardando la privacidad.

Comprensión de la cláusula 27701 de la norma ISO 8.5: Intercambio, transferencia y divulgación de información de identificación personal

La cláusula 27701 de ISO 8.5 describe los objetivos de una organización siempre que se transfiera o divulgue PII a otros países, organizaciones y subcontratistas.

ISO 27701 Cláusula 8.5.1 – Intercambio, transferencia y divulgación de PII

Objeto de la Cláusula 8.5.1

Siempre que se vaya a transferir PII entre jurisdicciones, las organizaciones deben informar al cliente de la necesidad subyacente de hacerlo, de manera oportuna.

Orientación sobre la Cláusula 8.5.1

Las regulaciones de transferencia de PII pueden variar de una región a otra, dependiendo de dónde y hacia dónde se transfieren los datos.

Los destinos de transferencia pueden incluir:

Proveedores
Terceros.
Diferentes paises.
Organizaciones internacionales.

Las organizaciones deben notificar al cliente con suficiente antelación sobre cualquier transferencia, de modo que se puedan plantear objeciones y, en determinadas circunstancias, se puedan realizar solicitudes de rescisión.

Las organizaciones no siempre necesitan informar a los clientes sobre los cambios en sus acuerdos de transferencia de datos, pero los contratos deben describir claramente las circunstancias en las que sí deben ofrecer una advertencia previa.

Al transferir PII a otro país, las organizaciones deben considerar mecanismos oficiales, tales como:

Cláusulas contractuales modelo.
Normas corporativas vinculantes.
Reglas de privacidad transfronterizas.

ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Empieza

ISO 27701 Cláusula 8.5.2 – Países y organizaciones internacionales a las que se puede transferir la PII

Objeto de la Cláusula 8.5.2

Las organizaciones deben mantener una lista precisa y actualizada de los países u organizaciones a los que se puede transferir la PII.

Orientación sobre la Cláusula 8.5.2

Los clientes deberían poder ver una lista de posibles países y organizaciones receptores en cualquier momento, incluido un registro de todos los países involucrados en la subcontratación de PII (consulte la cláusula 27701 de ISO 8.5.1).

En determinadas circunstancias, las organizaciones no siempre podrán divulgar con antelación de dónde proceden las solicitudes de transferencia, especialmente en casos de procesos penales. Esto es inevitable y debería ser la prioridad de la organización mantener la integridad de una operación de aplicación de la ley (ver ISO 27701 cláusulas 7.5.1, 8.5.4 y 8.5.5).

Cláusulas relevantes de ISO 27701

ISO 27701 7.5.1
ISO 27701 8.5.1
ISO 27701 8.5.4
ISO 27701 8.5.5

ISO 27701 Cláusula 8.5.3 – Registros de divulgación de PII a terceros

Objeto de la Cláusula 8.5.3

Las organizaciones deben registrar meticulosamente cualquier caso en el que necesiten revelar PII a un tercero.

Orientación sobre la Cláusula 8.5.3

Siempre que se divulga PII, ya sea como parte de rutinas comerciales estándar o en circunstancias especiales, como un proceso legal o regulatorio en curso, las organizaciones deben registrar lo que se ha divulgado, el destinatario y el motivo subyacente para hacerlo.

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración

ISO 27701 Cláusula 8.5.4 – Notificación de solicitudes de divulgación de PII

Objeto de la Cláusula 8.5.4

Siempre que se realice una solicitud legalmente vinculante para que la organización divulgue PII, cuando esté permitido, la organización debe informar al director de PII de la solicitud.

Orientación sobre la Cláusula 8.5.4

Las organizaciones deben redactar un procedimiento que rija cómo se notifica a los directores de PII sobre solicitudes de información de terceros legalmente vinculantes, incluido un plazo razonable y una estipulación contractual que describa todo el proceso.

Por encima de todo, las organizaciones deben cumplir con las solicitudes de los organismos encargados de hacer cumplir la ley, quienes tienen derecho a solicitar que no se notifique al cliente sobre ninguna solicitud y a asegurarse de no infringir ninguna ley al informar al cliente de la situación de forma accidental o intencional.

Cláusula 27701 de ISO 8.5.5: Divulgaciones de PII legalmente vinculantes

Objeto de la Cláusula 8.5.5

Las organizaciones deben objetar de inmediato cualquier solicitud de divulgación de PII que contravenga las leyes de seguridad de datos vigentes o que de alguna manera no sean legalmente vinculantes.

Se debe consultar a los directores de PII antes de que la organización divulgue cualquier información relacionada con PII, y las organizaciones deben cumplir con los términos contractuales que describen qué divulgaciones están permitidas, desde la perspectiva del cliente.

Orientación sobre la Cláusula 8.5.5

Los contratos deben ser específicos en lo que consideran una solicitud legal, además de aquellos que estén autorizados por el cliente, incluidos aquellos que se originan en:

Tribunales
Tribunales laborales.
Conflictos laborales.
Autoridades reguladoras/administrativas.

Cláusula 27701 de ISO 8.5.6: Divulgaciones de PII legalmente vinculantes

Objeto de la Cláusula 8.5.6

Antes de comprometerse con cualquier subcontratista que deba procesar PII, la organización debe revelar primero los detalles de la relación, antes de permitir que el subcontratista lleve a cabo sus funciones.

Orientación sobre la Cláusula 8.5.6

Todas las disposiciones para el uso de subcontratistas deben enumerarse como tales en el contrato SLA/cliente.

La información sobre los subcontratistas debe incluir:

El nombre de los subcontratistas.
Cualquier país al que el subcontratista pueda transferir datos (consulte la cláusula 27701 de ISO 8.5.2), de modo que el cliente pueda informar a los principales de PII.
Cómo se espera que el subcontratista satisfaga las necesidades de la organización (ver ISO 27701 cláusula 8.5.7).

Los NDA deben redactarse para revelar cualquier información que represente un mayor riesgo de seguridad si se expone públicamente.

Cláusulas relevantes de ISO 27701

ISO 27701 8.5.2
ISO 27701 8.5.7

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración

ISO 27701 Cláusula 8.5.7 – Contratación de un subcontratista para procesar la PII

Objeto de la Cláusula 8.5.7

El único momento en que es aceptable subcontratar actividades de procesamiento de PII es junto con las estipulaciones contenidas en un acuerdo contractual.

Orientación sobre la Cláusula 8.5.7

Las organizaciones deben obtener la aprobación por escrito de sus clientes antes de que una organización externa procese cualquier PII.

Los subcontratistas deben estar sujetos a un acuerdo vinculante (generalmente en forma de contrato escrito), que garantice que los subcontratistas comprendan sus obligaciones para implementar los controles enumerados en el Anexo B de la norma ISO 27701.

Los contratos deben tener en cuenta varios procesos de evaluación de riesgos (ver ISO 27701 cláusula 5.4.1.2) y todo el alcance de la operación de procesamiento de PII de la organización (ver ISO 27701 cláusula 6.12). Como se indicó anteriormente, se deben cumplir todos los controles enumerados en el Anexo B, y se deben enumerar las omisiones, junto con las justificaciones para hacerlo.

Cláusulas relevantes de ISO 27701

ISO 27701 5.4.1.2
ISO 27701 6.12

ISO 27701 Cláusula 8.5.8 – Cambio de subcontratista para procesar PII

Objeto de la Cláusula 8.5.8

Siempre que surja la necesidad de cambiar la forma en que la organización subcontrata cualquier elemento de su operación de procesamiento de PII, se debe informar a los clientes de los cambios con suficiente antelación para darles tiempo para cuestionar u objetar dichos cambios.

Orientación sobre la Cláusula 8.5.8

Los contratos deben incluir cláusulas que prevean la autorización por escrito del cliente para seguir adelante con el cambio, antes de que se procese cualquier PII.

Las organizaciones también pueden solicitar aprobación para cambios dentro de acuerdos escritos ad hoc, fuera de cualquier término contractual.

Artículos de apoyo del RGPD

Varios elementos de la cláusula 27701 de ISO 8.5 son aplicables en el Reino Unido. GDPR legislación. Eche un vistazo a la siguiente tabla para ver las referencias correspondientes.

Identificador de cláusula ISO 27701	Nombre de la cláusula ISO 27701	Artículos relacionados con el RGPD
8.5.1	Base para la transferencia de PII entre jurisdicciones	Artículos (44), (46)(48) (49)
8.5.2	Países y organizaciones internacionales a los que se puede transferir la PII	Artículo (30)
8.5.3	Registros de divulgación de PII a terceros	Artículo (30)
8.5.4	Notificación de solicitudes de divulgación de PII	Artículo (28)
8.5.5	Divulgaciones de PII legalmente vinculantes	Artículo (48)
8.5.6	Divulgación de subcontratistas utilizados para procesar PII	Artículo (28)
8.5.7	Contratación de un subcontratista para procesar la PII	Artículo (28)
8.5.8	Cambio de Subcontratista para Procesar PII	Artículo (28)

Cómo ayuda ISMS.online

En ISMS.online, hacemos que la documentación de su sistema de gestión de información de privacidad sea más fácil para su organización. Le proporcionamos una interfaz de gestión de información lógica, utilizable y basada en la nube que ayudará a su organización a verificar sus procesos de privacidad y su progreso con respecto al estándar ISO 27701/PIMS.

Nuestra plataforma basada en la nube le permite acceder a todos sus recursos PIMS en un solo lugar.

Puede utilizar nuestra plataforma fácil de usar para documentar todo lo que necesita para demostrar que cumple con los requisitos de ISO 27701. Nuestro Método de Resultados Asegurados (ARM) desmitifica los requisitos de ISO 27701 y le brinda confianza a medida que avanza hacia el logro de Certificación.

Contamos con un equipo interno de expertos en seguridad de la información que pueden brindarle orientación y responder preguntas para ayudarlo en su camino hacia la certificación ISO 27701.

Descubre más por reservar una demostración.

Mike Jennings

Mike es el administrador del sistema de gestión integrado (IMS) aquí en ISMS.online. Además de sus responsabilidades diarias de garantizar que la gestión de incidentes de seguridad de IMS, la inteligencia de amenazas, las acciones correctivas, las evaluaciones de riesgos y las auditorías se gestionen de manera efectiva y se mantengan actualizadas, Mike es un auditor líder certificado para ISO 27001 y continúa mejorar sus otras habilidades en estándares y marcos de gestión de privacidad y seguridad de la información, incluidos Cyber Essentials, ISO 27001 y muchos más.

Cláusulas ISO 27701

Somos líderes en nuestro campo