¿Qué es la Declaración de Aplicabilidad y por qué es importante?
La Declaración de Aplicabilidad (SoA) es un documento que enumera todos los controles desde anexo A Consulte la norma ISO 27701:2025 e indique si cada control es aplicable a su organización. Para cada control aplicable, registre su estado de implementación. Para cada control excluido, proporcione una justificación.
Es importante por tres razones:
- Define el alcance de su PIMS — El SoA te dice tu organismo de certificación Es fundamental saber exactamente qué controles ha implementado y por qué se han excluido otros. Esta información es la base de su auditoría de certificación.
- Es un requisito obligatorio — La cláusula 6.1.3 e) de la norma ISO 27701:2025 exige explícitamente una Declaración de Aplicabilidad que incluya los controles necesarios, la justificación de su inclusión, si se implementan y la justificación para excluir cualquier control del Anexo A.
- Es su hoja de ruta de auditoría. — El auditor utiliza su Declaración de Análisis (SoA) como referencia principal durante la auditoría de la Etapa 2. Se evaluará cada control marcado como aplicable para comprobar su implementación.
¿Qué debe contener la Declaración de Asociación?
Según la norma ISO 27701:2025, su Declaración de Análisis (SoA) debe incluir lo siguiente para cada control del Anexo A:
| Elemento obligatorio | Descripción | Ejemplo |
|---|---|---|
| Referencia de control | El número de control y el título del Anexo A | A.1.2 — Aviso de privacidad |
| Estado de aplicabilidad | Si el control es aplicable a su organización | Aplicable / No aplicable |
| Estado de implementación | Para los controles aplicables: si el control está totalmente implementado, parcialmente implementado o planificado. | Implementado |
| Justificación de la inclusión | Por qué este control es necesario para su PIMS (normalmente vinculado a su evaluación de riesgos) | Requerido para abordar el riesgo R-014 (transparencia inadecuada para los interesados). |
| Justificación de la exclusión | Para los controles excluidos: por qué el control no es aplicable a sus actividades de procesamiento de datos. | No aplica: la organización no actúa como procesador de datos personales. |
¿En qué se diferencia la estructura del SoA de 2025 de la de 2019?
Si está familiarizado con la edición de 2019, la estructura de SoA ha cambiado significativamente:
| Aspecto | 2019 edición | 2025 edición |
|---|---|---|
| Fuente de control | Cláusulas 6, 7 y 8 (extensiones de la norma ISO 27002) | anexo A (78 controles independientes distribuidos en 3 tablas) |
| Estructura | El SoA cubrió tanto el Anexo A de la norma ISO 27001 como las adiciones de cláusulas de la norma ISO 27701. | La norma ISO 27701:2025 tiene su propia Declaración de Análisis (SoA) específica que cubre únicamente el Anexo A. |
| Tablas de control | Organizado según la estructura de cláusulas de la norma ISO 27002. | Tres tablas: A.1 (controlador, 31 controles), A.2 (procesador, 18 controles), A.3 (compartido, 29 controles) |
| Relación con la norma ISO 27001 SoA | Combinado o con referencias cruzadas | Documento aparte. Si posee ambas certificaciones, mantiene dos SoA. |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo se debe abordar la construcción de la SoA?
Paso 1: Determina tu(s) rol(es)
La norma ISO 27701:2025 distingue entre responsables del tratamiento de datos personales y encargados del tratamiento de datos personales. Su función determina qué tablas del Anexo A se aplican:
- Controlador PII únicamente — Tabla A.1 (31 controles) + Tabla A.3 (29 controles) = 60 controles
- Procesador de PII únicamente — Tabla A.2 (18 controles) + Tabla A.3 (29 controles) = 47 controles
- Tanto el controlador como el procesador — Las tres tablas = 78 controles
Muchas organizaciones actúan como responsables del tratamiento (de los datos de los empleados) y como encargados del tratamiento (de los datos de los clientes). Si este es su caso, los 78 controles están incluidos en su ámbito de aplicación.
Paso 2: Vincule los controles a su evaluación de riesgos.
Cada control aplicable debe remontarse a un riesgo identificado en su evaluación de riesgos de privacidad. Este enlace es lo que auditoríao para verificar que la selección de controles se basa en el riesgo y no es arbitraria. Si un control aborda un riesgo identificado, debe ser aplicable. Si ningún riesgo justifica el control y el procesamiento de datos no lo requiere, puede excluirlo con una justificación documentada.
Paso 3: Documentar honestamente el estado de la implementación.
Para cada control aplicable, registre su estado actual:
- Implementado — El control está completamente operativo con evidencia
- Implementado parcialmente — Algunos elementos ya están implementados; queda trabajo por hacer.
- Previsto — El control está en su plan de implementación, pero aún no está operativo.
Sea honesto sobre la implementación parcial. Los auditores respetan la transparencia y trabajarán con usted en un cronograma de acciones correctivas. Afirmar la implementación completa cuando inicial Es delgado es una vía rápida hacia una no conformidad importante.
Paso 4: Redactar justificaciones de exclusión defendibles
Para cada control excluido, su justificación debe explicar por qué no es aplicable a su contexto específico de procesamiento de datos. Las justificaciones genéricas como «no es relevante» son insuficientes. Ejemplos de exclusiones justificables:
- “El control A.2.x no es aplicable porque la organización no actúa como procesador de datos personales para ningún tercero.”
- “El control A.1.x (marketing directo) no es aplicable porque la organización no procesa información de identificación personal con fines de marketing directo.”
- “El control A.3.x (soportes físicos) no es aplicable porque la organización procesa la información de identificación personal exclusivamente en formato digital, sin registros físicos.”
¿Qué errores provocan hallazgos en la auditoría sobre el estado de la acción?
- Faltan justificaciones para las exclusiones — El hallazgo más común. Cada control excluido necesita una razón específica y documentada. Simplemente decir "No aplicable" no es suficiente.
- Controles marcados como implementados sin evidencia — Si marcas un control como implementado, el auditor te pedirá ver la evidencia. Asegúrate de que exista evidencia y esté vinculada antes de la auditoría.
- El SoA no coincide con la evaluación de riesgos. — Si su evaluación de riesgos identifica un riesgo de privacidad, pero el control correspondiente está excluido en el SoA, el auditor lo señalará como una no conformidad.
- Utilizando la estructura de 2019 — Si su SoA hace referencia a las adiciones de controlador/procesador de la cláusula 7/8 en lugar de las tablas del Anexo A, no cumple con los requisitos. 2025 requisitos.
- Sin control de versiones — El estado de cuenta es un documento vivo. Si no tiene un historial de versiones que muestre cuándo se revisó y actualizó por última vez, el auditor podría cuestionar si refleja su situación actual.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo se mantiene actualizado el SoA?
Tu Declaración de Asociación no es un documento que se usa una sola vez. Necesita ser revisado y actualizado:
- Tras los cambios en la evaluación de riesgos — Los nuevos riesgos pueden requerir controles adicionales; los riesgos ya existentes pueden permitir exclusiones.
- Cuando cambian las actividades de procesamiento de datos — Los nuevos servicios, los nuevos tipos de datos o las nuevas relaciones de procesamiento pueden afectar a los controles aplicables.
- Antes de cada auditoría — Asegúrese de que el SoA refleje con precisión el estado actual de su implementación.
- Como parte de la revisión de gestión — Incluir la moneda del Estado de América como punto permanente del orden del día.
A plataforma de cumplimiento Este sistema genera el SoA a partir de los datos de control en tiempo real, lo que automatiza el proceso en lugar de hacerlo manualmente. Al actualizar el estado de un control o añadir un nuevo riesgo, el SoA refleja el cambio de inmediato.
¿Por qué elegir SGSI.online ¿Para la norma ISO 27701:2025?
- Generación automatizada de SoA — Crea tu Declaración de Aplicabilidad a partir de tus selecciones de control, con justificaciones y enlaces a evidencias que se completan automáticamente.
- Todos los 78 controles del Anexo A precargados — El controlador, el procesador y los controles compartidos están listos para ser evaluados, con notas de orientación para cada uno.
- Trazabilidad del riesgo al control — Vincule cada control con los riesgos que aborda, proporcionando a los auditores la cadena de evidencia que esperan.
- Documento en vivo — Su estado de análisis se actualiza automáticamente a medida que cambia el estado de los controles, agrega riesgos o modifica las justificaciones de exclusión.
- Historial de versiones — Registro de auditoría completo de los cambios de SoA, que cumple con el requisito de control de versiones sin seguimiento manual.
- Listo para exportar — Exporta tu Declaración de Análisis (SoA) en un formato profesional para tu organismo de certificación, clientes o revisión de la gerencia.
- Multi-marco — Si mantiene tanto la norma ISO 27001 como la ISO 27701, la plataforma gestiona ambas normas con controles compartidos asignados a través de los marcos de trabajo.
¿Listo para redactar tu declaración de idoneidad? Solicitar demostración y ver cómo SGSI.online hace tu ISO 27701: certificación 2025 SoA listo para auditoría desde el primer día.
Preguntas frecuentes
¿Cuántos controles debería tener mi SoA?
Su Declaración de Acuerdo (SoA) debe incluir los 78 controles del Anexo A (o el subconjunto pertinente a su función como responsable del tratamiento, encargado del tratamiento o ambos). Cada control es aplicable o se excluye con justificación. El número de controles aplicables varía según la organización, pero la mayoría de las organizaciones que actúan como responsables y encargados del tratamiento tendrán entre 50 y 70 controles aplicables.
¿Necesito una declaración de análisis (SoA) separada para ISO 27701 e ISO 27001?
Sí. Según la edición de 2025, la ISO 27701 tiene su propio Anexo A con controles específicos de privacidad, separado del Anexo A de la ISO 27001. Si posee ambas certificaciones, mantiene dos SoA. Una plataforma de cumplimiento como SGSI.online Gestiona ambos y asigna los controles compartidos para que no tengas que duplicar esfuerzos.
¿Puedo excluir una tabla completa del Anexo A?
Sí, si su función lo justifica. Por ejemplo, si usted se dedica exclusivamente al tratamiento de datos personales y nunca actúa como responsable del tratamiento, puede excluir todos los controles de la Tabla A.1 (responsable del tratamiento) con la justificación de que usted no determina los fines ni los medios del tratamiento de dichos datos. La Tabla A.3 (controles compartidos) se aplica a todas las organizaciones, independientemente de su función.
¿Qué evidencia debería vincularse a cada control?
Las evidencias varían según el tipo de control, pero generalmente incluyen: políticas (aprobadas y reconocidas), procedimientos (documentados y seguidos), registros (registros, actas de reuniones) y evidencia técnica (configuraciones del sistema, controles de acceso). La clave reside en demostrar que el control no solo está documentado, sino que también funciona eficazmente.
¿Con qué frecuencia se debe revisar el SoA?
Como mínimo, revise el estado de análisis (SoA) anualmente como parte de su ciclo de revisión de gestión y antes de cada auditoría de certificación o vigilancia. También debe actualizarlo siempre que haya un cambio significativo en sus actividades de procesamiento de datos, perfil de riesgo o estructura organizativa. Un SoA generado por la plataforma se mantiene actualizado automáticamente a medida que actualiza sus controles.
