¿Qué exige la cláusula 7?
La cláusula 7 garantiza que su Sistema de Gestión de Información de Privacidad (PIMS) cuente con la infraestructura de soporte necesaria para funcionar eficazmente. Cláusula 5 La cláusula 7 establece la dirección desde arriba y garantiza que se establezcan las bases prácticas: personal, habilidades, concienciación, canales de comunicación y documentación.
Recursos de 7.1
La organización determinará y proporcionará los recursos necesarios para el establecimiento, la implementación, el mantenimiento y la mejora continua del PIMS. Los recursos incluyen:
- Personas — Personal suficiente con el tiempo adecuado asignado a las actividades de gestión de la privacidad.
- Presupuesto — Recursos financieros para herramientas, formación, consultoría y certificación.
- Tecnología — Sistemas y herramientas para respaldar las operaciones de privacidad, el monitoreo y la presentación de informes.
- Infraestructura — Entornos físicos y lógicos necesarios para el procesamiento seguro de la información de identificación personal (PII).
7.2 Competencia
La organización deberá:
- Determinar la competencia necesaria de las personas que realizan trabajos bajo su control que afectan al desempeño de la privacidad.
- Asegúrese de que estas personas sean competentes en base a la educación, la formación o la experiencia adecuadas.
- Cuando proceda, adopte medidas para adquirir la competencia necesaria y evalúe la eficacia de dichas medidas.
- Conservar la información documentada adecuada como prueba de competencia.
Los requisitos de competencia no solo deben abarcar al personal dedicado exclusivamente a la privacidad, sino también a cualquier persona cuyo trabajo afecte al procesamiento de información de identificación personal, incluidos desarrolladores, equipos de atención al cliente, personal de recursos humanos y de marketing.
7.3 Conciencia
Las personas que realicen trabajos bajo el control de la organización deberán tener en cuenta lo siguiente:
- La política de privacidad
- Su contribución a la eficacia del PIMS, incluidos los beneficios de un mejor rendimiento en materia de privacidad.
- Las implicaciones de no cumplir con los requisitos de PIMS
La concienciación va más allá de la formación formal. Significa garantizar que todos comprendan por qué la privacidad es importante, cuál es su papel en la protección de la información personal identificable y qué sucede cuando algo sale mal.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
Comunicación 7.4
La organización determinará la necesidad de comunicaciones internas y externas relevantes para el PIMS, incluyendo:
- que comunicar
- cuando comunicarse
- Con quien comunicarse
- Como comunicarse
Esto abarca las comunicaciones con los titulares de datos personales, los organismos reguladores, los clientes, el personal y otras partes interesadas. Una planificación eficaz de la comunicación garantiza que la información sobre privacidad llegue a las personas adecuadas en el momento oportuno.
7.5 Información documentada
7.5.1 general
El PIMS deberá incluir la información documentada requerida por la norma y la información documentada que la organización considere necesaria para su eficacia. El alcance de la documentación puede variar según el tamaño de la organización, sus actividades, procesos y la competencia del personal.
7.5.2 Creación y actualización
Al crear y actualizar información documentada, la organización deberá garantizar lo siguiente:
- Identificación y descripción (título, fecha, autor, número de referencia)
- Formato (idioma, versión de software, gráficos) y soporte (papel, electrónico)
- Revisión y aprobación de idoneidad y adecuación.
7.5.3 Control de la información documentada
La información documentada requerida por el PIMS deberá controlarse para garantizar que sea:
- Disponible y apto para su uso, donde y cuando se necesite.
- Debidamente protegido (contra la pérdida de confidencialidad, el uso indebido o la pérdida de integridad).
Las actividades de control incluyen la distribución, el acceso, la recuperación, el uso, el almacenamiento, la conservación, el control de cambios, la retención y la eliminación. Esto es particularmente importante para la documentación de privacidad, que puede contener información sensible sobre las actividades de procesamiento.
¿Qué relación tiene esto con el RGPD?
- Artículo 39 (1) (b) — Las tareas del DPO incluyen el seguimiento de la sensibilización y la capacitación del personal, en consonancia con los puntos 7.2 y 7.3.
- Artículo 30 — Los requisitos de los registros de actividades de procesamiento se alinean con los controles de información documentados en 7.5.
- Artículo 5 (2) — El principio de rendición de cuentas exige la capacidad de demostrar el cumplimiento, respaldado por documentación exhaustiva.
- Artículo 32 (4) — Garantizar que las personas que actúan bajo autoridad tengan la competencia y la concienciación adecuadas.
Para ver el mapeo completo del RGPD, consulte la Guía de cumplimiento del RGPD.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
- Requisitos autónomos — En 2019, la cláusula 5.5 complementó la cláusula 7 de la norma ISO 27001. Ahora los requisitos de soporte son completos e independientes.
- Competencia específica en materia de privacidad — Los requisitos de competencia ahora hacen referencia explícita al desempeño en materia de privacidad en lugar de a la seguridad de la información.
- Alcance de la documentación más claro — Los requisitos de información documentados ahora están específicamente limitados al PIMS en lugar de extender un ISMS.
Para una visión más amplia, consulte Novedades de la norma ISO 27701:2025.
Consulte las Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué tipo de evidencia esperan los auditores?
- Registros de asignación de recursos — Aprobaciones presupuestarias, planes de personal y decisiones sobre la adquisición de herramientas
- Registros de entrenamiento — Evidencia de capacitación, certificaciones y desarrollo profesional continuo relacionados con la privacidad.
- Evaluaciones de competencias — Registros que muestran cómo se evaluó la competencia para funciones relacionadas con la privacidad.
- Programa de sensibilización — Evidencia de actividades de sensibilización (inducción, capacitación de actualización, campañas de comunicación)
- Plan de comunicación — Un plan documentado que abarque las comunicaciones de privacidad internas y externas
- Procedimientos de control de documentos — Evidencia de que la información documentada está debidamente identificada, aprobada, controlada y protegida.
- Registro de documentos — Una lista de toda la información documentada de PIMS con control de versiones y fechas de revisión.
Los requisitos de concienciación y competencia se relacionan con A.3.17 Sensibilización y capacitación en los controles de seguridad compartidos.
Evite errores comunes en la documentación revisando la errores de implementación más comunes.
Cláusulas relacionadas
| Cláusula | Relación |
|---|---|
| Cláusula 5: Liderazgo | La alta dirección debe garantizar que los recursos estén disponibles (5.1) y que la política se comunique. |
| Cláusula 6: Planificación | Los planes y objetivos de tratamiento de riesgos deben documentarse según los requisitos del apartado 7.5. |
| Cláusula 8: Operación | Los procesos operativos dependen de procedimientos documentados y personal competente. |
| Cláusula 9: Evaluación del Desempeño | Los resultados de las auditorías internas y las revisiones de la dirección deben conservarse como información documentada. |
Vea también Cláusula 4 (Contexto) para contextualizar y Cláusula 10 (Mejora) para la mejora continua.
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 7?
SGSI.online Proporciona herramientas de soporte integrales para su PIMS:
- Gestión de documentos — Control de versiones completo, flujos de trabajo de aprobación, controles de acceso y registros de auditoría para toda la documentación de PIMS.
- Rastreador de entrenamiento — Registre las actividades de capacitación, las certificaciones y las evaluaciones de competencias con recordatorios automatizados para la capacitación de actualización.
- Campañas de sensibilización — Crear, distribuir y realizar un seguimiento de los materiales de concienciación sobre la privacidad con seguimiento de la finalización
- Registro de comunicación — Registrar las comunicaciones internas y externas con marcas de tiempo y enlaces de evidencia.
- Biblioteca de plantillas — Plantillas prediseñadas para políticas, procedimientos, registros y formularios alineados con la norma ISO 27701:2025.
Preguntas Frecuentes
¿Qué formación en materia de privacidad necesita el personal?
Los requisitos de capacitación dependen del puesto. Todo el personal debe recibir capacitación general sobre privacidad, que abarque la política de privacidad, sus responsabilidades y cómo reportar incidentes. El personal con funciones específicas relacionadas con la privacidad (DPO, analistas de privacidad, responsables de respuesta a incidentes) necesita una capacitación técnica y normativa más profunda. Los desarrolladores y el personal de TI necesitan capacitación sobre los principios de privacidad desde el diseño. La capacitación debe estar documentada y actualizarse periódicamente.
¿Cuánta documentación requiere un PIMS?
La norma exige información documentada específica (política de privacidad, evaluaciones de riesgos, declaración de actividad, resultados de auditoría, informes de revisión de la dirección), además de cualquier otra documentación que se considere necesaria. El alcance varía según el tamaño y la complejidad de la organización. Concéntrese en la documentación que aporte valor y respalde una gestión eficaz de la privacidad, en lugar de crear documentos únicamente para cumplir con los requisitos normativos.
¿Puede la gestión electrónica de documentos sustituir a los registros en papel?
Sí. La norma no prescribe ningún formato ni soporte específico para la información documentada. Generalmente se prefieren los sistemas electrónicos, ya que ofrecen un mejor control de versiones, gestión de accesos, capacidades de búsqueda y registros de auditoría. Independientemente del sistema que utilice, debe cumplir con los requisitos de control del apartado 7.5.3, incluyendo disponibilidad, protección, control de accesos y gestión de la retención.
Para obtener orientación específica sobre lo que esperan los auditores, consulte nuestra requisitos de evidencia de auditoría guía.
Si necesita asistencia externa, lea nuestra guía sobre Cómo elegir un consultor ISO 27701:2025.
