¿Qué exige la cláusula 6?
La cláusula 6 es la cláusula de planificación central para su Sistema de Gestión de Información de Privacidad (PIMS). Define cómo identificar riesgos y oportunidades, evaluar y tratar los riesgos de privacidad, establecer objetivos medibles y gestionar los cambios. Esta cláusula conecta la comprensión contextual de Cláusula 4 a las actividades operativas en Cláusula 8.
6.1 Medidas para abordar los riesgos y las oportunidades
6.1.1 general
Al planificar el PIMS, la organización deberá considerar los problemas de Cláusula 4.1 y los requisitos de la Cláusula 4.2, y determinar los riesgos y oportunidades que deben abordarse para:
- Asegurar que el PIMS pueda lograr los resultados previstos.
- Prevenir o reducir los efectos no deseados
- Lograr una mejora continua
La organización debe planificar acciones para abordar estos riesgos y oportunidades, cómo integrar e implementar dichas acciones en los procesos del PIMS y cómo evaluar la eficacia de estas acciones.
6.1.2 Evaluación de riesgos de privacidad
La organización deberá definir y aplicar un proceso de evaluación de riesgos de privacidad que:
- Establece criterios de riesgo — Incluyendo criterios de aceptación de riesgos y criterios para realizar evaluaciones de riesgos de privacidad.
- Asegura la consistencia — Las evaluaciones repetidas producen resultados consistentes, válidos y comparables.
- Identifica riesgos — Aplicar el proceso para identificar los riesgos asociados con la protección de la privacidad y la seguridad de la información dentro del alcance del PIMS, e identificar a los responsables de dichos riesgos.
- Análisis de riesgos — Evaluar las posibles consecuencias y la probabilidad realista de los riesgos identificados, y determinar los niveles de riesgo.
- Evalúa los riesgos — Comparar los resultados con los criterios establecidos y priorizar los riesgos para el tratamiento.
El proceso de evaluación de riesgos debe documentarse y sus resultados deben conservarse como información documentada.
6.1.3 Tratamiento de los riesgos para la privacidad
La organización deberá definir y aplicar un proceso de tratamiento de riesgos de privacidad para:
- Seleccione las opciones de tratamiento de riesgos adecuadas, teniendo en cuenta los resultados de la evaluación de riesgos.
- Determinar todos los controles necesarios para implementar las opciones de tratamiento de riesgos elegidas.
- Identificar y documentar el programa de seguridad de la información implementado por la organización, incluyendo los controles de seguridad apropiados que aborden (como mínimo): gestión de riesgos de seguridad de la información, políticas, organización de la seguridad de la información, seguridad de los recursos humanos, gestión de activos, control de acceso, seguridad de las operaciones, gestión de la seguridad de la red, seguridad del desarrollo, gestión de proveedores, gestión de incidentes, continuidad del negocio, revisiones de seguridad de la información, criptografía y seguridad física y ambiental.
- Compare los controles determinados del programa de tratamiento de riesgos y seguridad de la información con los de anexo A verificar que no se hayan omitido los controles necesarios
- Producir un Declaración de aplicabilidad (SoA) que contiene los controles necesarios, la justificación de su inclusión, si se implementan y la justificación de la exclusión de cualquier anexo A controles
- Formular un plan de tratamiento de riesgos de privacidad
- Obtener la aprobación de los propietarios del riesgo sobre el plan de tratamiento del riesgo y la aceptación de los riesgos residuales de privacidad.
- Considere las directrices del Anexo B para la aplicación de los controles determinados durante el tratamiento de riesgos y en el programa de seguridad de la información.
En esta subcláusula se vinculan los requisitos del sistema de gestión con los controles del Anexo A. Su Declaración de Análisis (SoA) se convierte en el documento central que relaciona los resultados de la evaluación de riesgos con los controles específicos que implemente.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
6.2 Objetivos de privacidad y planificación para alcanzarlos
La organización deberá establecer objetivos de privacidad en las funciones y niveles pertinentes. Los objetivos de privacidad deberán:
- Sea coherente con la política de privacidad.
- Debe ser medible (si es posible).
- Tenga en cuenta los requisitos aplicables.
- Ser monitoreado
- Ser comunicado
- Actualizar según corresponda
- Estar disponible como información documentada
Al planificar cómo alcanzar los objetivos, la organización debe determinar qué se hará, qué recursos se requieren, quién será el responsable, cuándo se completará y cómo se evaluarán los resultados.
6.3 Planificación de cambios
Cuando la organización determine la necesidad de realizar cambios en el PIMS, estos deberán llevarse a cabo de forma planificada. Este es un nuevo requisito explícito en la edición de 2025, que subraya la importancia de evitar cambios improvisados en el sistema de gestión. Los cambios deben evaluarse en función de su impacto en la eficacia del PIMS y gestionarse mediante un proceso estructurado.
¿Qué relación tiene esto con el RGPD?
La cláusula 6 respalda varias GDPR requisitos:
- Artículo 35 — Las evaluaciones de impacto en la protección de datos (EIPD) se alinean con el proceso de evaluación de riesgos de privacidad en 6.1.2.
- Artículo 32 — Seguridad del tratamiento, que requiere medidas técnicas y organizativas adecuadas basadas en la evaluación de riesgos.
- Artículo 24 — Es responsabilidad del responsable de implementar las medidas adecuadas considerando los riesgos de diversa probabilidad y gravedad.
- Artículo 25 — Protección de datos desde el diseño y por defecto, respaldada por una planificación de riesgos previa.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
- Terminología sobre riesgos de privacidad — La edición de 2025 utiliza explícitamente “evaluación de riesgos de privacidad” y “tratamiento de riesgos de privacidad” en lugar de basarse en los procesos de riesgo de seguridad de la información de la norma ISO 27001.
- SoA independiente — La Declaración de Aplicabilidad ahora hace referencia directamente a los controles del Anexo A de la norma ISO 27701, en lugar de complementar una Declaración de Aplicabilidad de la norma ISO 27001.
- Se agregó la cláusula 6.3 — La planificación de los cambios es un nuevo requisito explícito que no está presente en la edición de 2019.
- Comparación de control del Anexo A — El proceso de tratamiento de riesgos ahora requiere explícitamente la comparación de los controles determinados con el Anexo A para verificar que no se hayan omitido controles necesarios.
Consulte las Tabla de correspondencias del Anexo F para el mapeo completo y nuestro Guía de novedades para obtener una visión general más amplia de los cambios.
¿Qué tipo de evidencia esperan los auditores?
- Metodología de evaluación de riesgos — Un proceso documentado para identificar, analizar y evaluar los riesgos de privacidad.
- Resultados de la evaluación de riesgos — Registros de evaluaciones completadas con riesgos identificados, probabilidad, impacto y niveles de riesgo.
- Plan de tratamiento de riesgos — Un plan que muestre cómo se tratará cada riesgo inaceptable, con responsables asignados y plazos establecidos.
- Declaración de aplicabilidad — Un informe completo de análisis que abarque todos los controles del Anexo A con justificaciones de inclusión/exclusión.
- Objetivos de privacidad — Objetivos documentados y medibles con planes para alcanzarlos.
- aprobaciones del propietario del riesgo — Evidencia de que los propietarios del riesgo han aprobado el plan de tratamiento y aceptado los riesgos residuales.
- Cambiar registros — Evidencia de que los cambios en el PIMS se planifican y gestionan sistemáticamente.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
Cláusulas relacionadas
| Cláusula | Relación |
|---|---|
| Cláusula 4: Contexto | El análisis del contexto y los requisitos de las partes interesadas contribuyen a la identificación de riesgos. |
| Cláusula 5: Liderazgo | La política de privacidad proporciona el marco para establecer objetivos (6.2) |
| Cláusula 8: Operación | La evaluación de riesgos operacionales (8.2) y el tratamiento (8.3) implementan los planes definidos aquí. |
| Cláusula 9: Evaluación del Desempeño | Las actividades de seguimiento y revisión evalúan la eficacia del tratamiento de riesgos. |
| Controles del Anexo A | El SoA en 6.1.3 determina qué controles del Anexo A se aplican. |
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 6?
SGSI.online Proporciona herramientas integradas para la planificación de riesgos de privacidad:
- Registro de riesgos de privacidad — Identificar, evaluar y priorizar los riesgos de privacidad con criterios configurables y escalas de probabilidad e impacto.
- Flujos de trabajo para el tratamiento de riesgos — Asigne acciones de tratamiento a los propietarios con plazos establecidos, realice un seguimiento del progreso y registre las aprobaciones.
- Generador de declaraciones de aplicabilidad — Generar y mantener su Declaración de Acuerdo (SoA) con todos los controles del Anexo A, justificaciones de inclusión/exclusión y estado de implementación.
- Rastreador de objetivos — Defina, supervise e informe sobre los objetivos de privacidad con paneles de control de progreso.
- Gestión del cambio — Planificar y realizar un seguimiento de los cambios en el PIMS con flujos de trabajo de evaluación y aprobación de impacto.
Preguntas Frecuentes
¿Cuál es la diferencia entre una DPIA y la evaluación de riesgos de la Cláusula 6?
Una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD se activa ante actividades de tratamiento específicas de alto riesgo y se centra en el impacto en las personas. La evaluación de riesgos de privacidad del apartado 6.1.2 es un proceso más amplio y sistemático que abarca todos los riesgos de privacidad dentro del ámbito de aplicación del PIMS. Las EIPD pueden integrarse en la evaluación de riesgos del apartado 6, y muchas organizaciones integran ambos procesos. Sin embargo, la evaluación del apartado 6 es obligatoria para todas las actividades de tratamiento, no solo para las de alto riesgo.
¿Pueden excluirse los controles del Anexo A de la Declaración de Aplicabilidad?
Sí. El SoA debe cubrir todos los controles del Anexo A, pero puede excluir los controles que no sean aplicables a su organización. Cada exclusión debe estar justificada. Por ejemplo, si solo actúa como responsable del tratamiento de datos personales, puede excluir los controles que no sean aplicables a su organización. Cuadro A.2 Los controles del procesador se justifican de esa manera. Sin embargo, no se puede excluir un control simplemente porque sea difícil o costoso de implementar.
¿Con qué frecuencia debe revisarse la evaluación de riesgos de privacidad?
La cláusula 6 exige que se defina el proceso de evaluación de riesgos, mientras que Cláusula 8.2 Requiere que se realice a intervalos planificados o cuando se produzcan cambios significativos. La mayoría de las organizaciones realizan una revisión completa anualmente, con evaluaciones adicionales que se activan ante cambios como nuevas actividades de procesamiento, actualizaciones normativas, incidentes de seguridad o reestructuraciones organizativas.
Comience su planificación con un análisis de brechas estructurado para identificar las áreas prioritarias de su plan de tratamiento de riesgos.
Documente sus decisiones de control en un Declaración de aplicabilidad — un resultado clave del proceso de planificación.
¿Necesita justificar la inversión? Nuestra Marco de análisis de rentabilidad de la inversión (ROI) ayuda a cuantificar los beneficios.
