¿Qué exige la cláusula 4?
La cláusula 4 sienta las bases de su Sistema de Gestión de Información sobre Privacidad (SGIP) al exigirle que comprenda el contexto en el que opera su organización, quiénes son sus partes interesadas y qué alcance abarca su SGIP. Consta de cuatro subapartados que se complementan entre sí para ofrecer una visión completa de su entorno de privacidad.
4.1 Comprender la organización y su contexto
La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afectan su capacidad para lograr los resultados previstos del PIMS. Esto incluye:
- Problemas externos — Legislación y reglamentos de privacidad (como GDPR), requisitos de la industria, obligaciones contractuales, desarrollos tecnológicos y el entorno competitivo
- Asuntos internos — Cultura organizacional, estructura de gobernanza, políticas existentes, disponibilidad de recursos y competencia del personal.
- Cambio climático (Cláusulas 4.1 y 4.2) — Una nueva adición en la edición de 2025, que exige a las organizaciones determinar si el cambio climático es un tema relevante que podría afectar al PIMS
- Función de controlador o procesador — La organización debe determinar si actúa como controlador de PII, procesador de PII o ambos, ya que esto determina cuál Controles del anexo A aplicar
4.2 Comprender las necesidades y expectativas de las partes interesadas
La organización debe identificar a las partes interesadas relevantes para su PIMS y comprender sus requisitos. Las principales partes interesadas suelen incluir:
- Principios de PII — Las personas cuyos datos personales están siendo procesados
- Clientes — Ya sea actuando como responsables del tratamiento de datos personales, involucrando a su organización como procesador, o como clientes procesadores que proporcionan datos
- Organismos reguladores y autoridades de supervisión — Autoridades de protección de datos con responsabilidades de supervisión
- Empleados y contratistas — Personal involucrado en actividades de procesamiento de información de identificación personal
- Terceros y subcontratistas — Entidades involucradas en la cadena de suministro que pueden procesar información de identificación personal (PII)
Para cada parte interesada, deberá determinar cuáles de sus requisitos son relevantes para el PIMS y cuáles se abordarán a través del sistema de gestión.
4.3 Determinación del alcance del PIMS
La organización debe determinar los límites y la aplicabilidad del PIMS para establecer su alcance. Al determinar el alcance, la organización deberá considerar:
- Los problemas externos e internos identificados en 4.1
- Los requisitos de las partes interesadas identificados en 4.2
- Las interfaces y dependencias entre las actividades realizadas por la organización y las realizadas por otras organizaciones.
- Las actividades de tratamiento de información personal identificable (IPI) comprendidas en el ámbito de aplicación, incluidos los tipos de IPI, las categorías de titulares de IPI y las finalidades del tratamiento.
El alcance debe estar documentado y disponible como información documentada.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
4.4 Sistema de gestión de información de privacidad
La organización debe establecer, implementar, mantener y mejorar continuamente un PIMS, incluyendo los procesos necesarios y sus interacciones, de acuerdo con los requisitos de la norma. Este es el requisito fundamental que engloba todas las cláusulas subsiguientes.
¿Qué relación tiene esto con el RGPD?
La cláusula 4 respalda varias GDPR requisitos:
- Artículo 24 — Responsabilidad del responsable del tratamiento, que exige a las organizaciones que apliquen medidas adecuadas teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
- Artículo 25 — Protección de datos desde el diseño y por defecto, lo cual se apoya en la comprensión previa del contexto y el alcance.
- Artículo 26 — Controladores conjuntos, relevantes a la hora de determinar su función como controlador o encargado del tratamiento.
- Artículo 28 — Requisitos del procesador, que dependen de la correcta identificación de su función según la cláusula 4.1
- Artículo 30 — Registros de actividades de procesamiento, lo que requiere comprender el alcance del procesamiento de información de identificación personal.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Principales cambios en la cláusula 4 en comparación con la edición de 2019:
- Requisitos independientes — En 2019, la cláusula 5.2 complementó la cláusula 4 de la norma ISO 27001. Ahora los requisitos son autónomos y completos.
- Consideración del cambio climático — Nuevo requisito en las cláusulas 4.1 y 4.2 para evaluar si el cambio climático es un tema relevante.
- Determinación explícita del rol — El requisito de determinar el estado del controlador o procesador ahora está claramente integrado en el análisis de contexto.
- Alcance del procesamiento de información de identificación personal — Mayor énfasis en documentar los tipos y categorías de información personal identificable (PII) dentro del alcance.
Para ver la correspondencia completa entre las cláusulas de 2019 y 2025, consulte la Tabla de correspondencias del Anexo F.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de la Cláusula 4, los auditores generalmente buscarán lo siguiente:
- Documento de análisis de contexto — Una evaluación formal de los problemas internos y externos relevantes para el PIMS
- Los interesados deben registrarse. — Una lista documentada de las partes interesadas pertinentes, sus requisitos y cómo se abordan.
- Declaración de alcance de PIMS — Un alcance claro y documentado que defina los límites y la aplicabilidad del PIMS.
- Determinación de roles — Evidencia documentada de cómo determinó si actúa como controlador, encargado del tratamiento o ambos.
- Inventario de información de identificación personal (PII) — Un registro de tipos de información personal identificable (PII), categorías de titulares de PII y fines de procesamiento dentro del ámbito de aplicación
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Cláusulas relacionadas
| Cláusula | Relación |
|---|---|
| Cláusula 5: Liderazgo | El compromiso del liderazgo y la política de privacidad se basan en el análisis del contexto. |
| Cláusula 6: Planificación | La evaluación de riesgos y los objetivos se basan en el alcance y el contexto establecidos aquí. |
| Cláusula 8: Operación | Los procesos operativos deben funcionar dentro del alcance definido. |
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 4?
SGSI.online Proporciona herramientas estructuradas para establecer el contexto de su PIMS:
- Plantillas de análisis de contexto — Marcos predefinidos para identificar y documentar problemas internos y externos relevantes para la privacidad.
- Los interesados deben registrarse. — Mantenga un registro dinámico de las partes interesadas con sus requisitos y cómo los aborda.
- Gestión del alcance — Defina y documente el alcance de su PIMS con límites claros, incluidas las actividades de procesamiento de PII.
- Mapeo de roles — Documenta tus funciones de controlador y procesador en las diferentes actividades de procesamiento.
- Análisis de las deficiencias — Identifique en qué aspectos sus prácticas actuales cumplen con los requisitos de la Cláusula 4 y dónde se necesitan mejoras.
Preguntas Frecuentes
¿Puede el alcance del PIMS ser más limitado que el de toda la organización?
Sí. El alcance puede abarcar unidades de negocio, ubicaciones, actividades de procesamiento o líneas de productos específicas. Sin embargo, debe estar justificado y documentado, y es necesario explicar cómo se gestionan las interfaces con áreas que quedan fuera del alcance. Los auditores verificarán que el alcance sea apropiado y no se haya restringido artificialmente para evitar abordar riesgos clave de privacidad.
¿Cómo funciona en la práctica el requisito relativo al cambio climático?
El requisito consiste en determinar si el cambio climático es un tema relevante, no en realizar una evaluación ambiental completa. Para la mayoría de las organizaciones, esto implica considerar brevemente si los eventos relacionados con el clima (como fenómenos meteorológicos extremos, cambios normativos o interrupciones en la cadena de suministro) podrían afectar al PIMS. Documente su análisis y conclusiones como parte del análisis de contexto.
¿Qué ocurre si nuestra organización actúa tanto como responsable del tratamiento como encargado del tratamiento?
Muchas organizaciones actúan como ambas dependiendo de la actividad de procesamiento. Debe identificar qué rol se aplica a cada actividad de procesamiento y documentarlo claramente. Ambos conjuntos de Controles del anexo A (Cuadro A.1 para controladores y Cuadro A.2 para los procesadores) se aplicarán entonces a las actividades pertinentes, junto con los controles compartidos en Cuadro A.3.
Una minuciosa análisis de las deficiencias Le ayuda a definir su alcance identificando en qué aspectos su PIMS actual cumple —o no— con estos requisitos.
Las organizaciones SaaS a menudo se enfrentan a desafíos únicos al determinar su rol de procesamiento; consulte nuestra guía para plataformas SaaS.
¿No está seguro de si la certificación es necesaria? Nuestra guía cubre Si necesita la certificación ISO 27701:2025.
