¿Qué exige la cláusula 8?
La cláusula 8 es la fase "Hacer" del ciclo PDCA. Cláusula 6 Si bien define cómo planificar sus actividades de gestión de riesgos, la cláusula 8 exige que ejecute esos planes en las operaciones diarias. Se trata de una cláusula deliberadamente concisa con tres subcláusulas que se centran en la puesta en práctica de los planes.
8.1 Planificación y control operativos
La organización deberá planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos de PIMS y para implementar las acciones determinadas en Cláusula 6, por:
- Establecer criterios para los procesos — Definir qué significa “bueno” para cada proceso operativo.
- Implementar el control de los procesos — Aplicar los criterios en la práctica mediante procedimientos, instrucciones de trabajo y controles.
- Mantener información documentada — Conservar pruebas de que los procesos se han llevado a cabo según lo previsto.
La organización también debe controlar los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando las medidas necesarias para mitigar cualquier efecto adverso.
Cuando los procesos se prestan externamente (subcontratación), la organización debe garantizar su control. Esto es especialmente importante para el tratamiento de datos personales, ya que las actividades subcontratadas pueden implicar que subcontratistas gestionen datos personales en su nombre.
8.2 Evaluación de riesgos de privacidad
La organización realizará evaluaciones de riesgos de privacidad a intervalos planificados o cuando se propongan o se produzcan cambios significativos, teniendo en cuenta los criterios establecidos en Cláusula 6.1.2.
Esto significa que la evaluación de riesgos no es una actividad puntual. Debe repetirse:
- A intervalos planificados — La mayoría de las organizaciones establecen un ciclo anual, aunque los entornos de mayor riesgo pueden requerir evaluaciones más frecuentes.
- Cuando se producen cambios — Las nuevas actividades de procesamiento, los cambios en el sistema, las actualizaciones normativas, la reestructuración organizativa o los incidentes de seguridad deberían dar lugar a una reevaluación.
- Cuando se proponen cambios — Evaluación proactiva antes de implementar los cambios, no solo evaluación reactiva después.
Los resultados de las evaluaciones de riesgos para la privacidad deben conservarse como información documentada.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
8.3 Tratamiento de los riesgos para la privacidad
La organización deberá implementar el plan de tratamiento de riesgos de privacidad. Los resultados del tratamiento de riesgos de privacidad deberán conservarse como información documentada.
Si bien esta subcláusula es breve, sus implicaciones son significativas. Le exige lo siguiente:
- Ejecutar todas las acciones de tratamiento definidas en su plan de tratamiento de riesgos desde Cláusula 6.1.3
- Implemente los controles identificados en su Declaración de Aplicabilidad.
- Supervisar el estado de implementación de las acciones de tratamiento.
- Documentar los resultados, incluidos los riesgos residuales que queden después del tratamiento.
Los auditores compararán su plan de tratamiento de riesgos (desde Cláusula 6) con la evidencia de implementación real (de la Cláusula 8) para verificar que los planes se han llevado a cabo.
¿Qué relación tiene esto con el RGPD?
- Artículo 32 — Seguridad del tratamiento de datos, que requiere la aplicación de medidas técnicas y organizativas adecuadas. La cláusula 8.3 es donde se ponen en práctica estas medidas.
- Artículo 35 — Las evaluaciones de impacto en la protección de datos (EIPD) se ajustan al requisito de evaluación de riesgos en curso establecido en el apartado 8.2.
- Artículo 28 (1) — Requisitos del procesador para garantías suficientes, respaldadas por los controles de procesos proporcionados externamente en 8.1
- Artículo 24 — Es responsabilidad del controlador implementar las medidas adecuadas y revisarlas/actualizarlas cuando sea necesario.
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
- Requisitos operativos independientes — En 2019, la cláusula 5.6 complementó la cláusula 8 de la norma ISO 27001. Ahora los requisitos operativos son autónomos.
- Terminología sobre riesgos de privacidad — La edición de 2025 utiliza explícitamente los términos «evaluación de riesgos de privacidad» y «tratamiento de riesgos de privacidad», dejando claro el enfoque en la privacidad.
- Procesos proporcionados externamente — Mayor énfasis en el control de los procesos subcontratados, lo que refleja la realidad de que muchas organizaciones dependen de terceros para el procesamiento de información de identificación personal.
- Cambio de control — Requisitos explícitos para controlar los cambios planificados y revisar los cambios no deseados
Consulte las Tabla de correspondencias del Anexo F para el mapeo completo.
¿Qué tipo de evidencia esperan los auditores?
- Procedimientos operacionales — Procedimientos documentados para las actividades de procesamiento de información de identificación personal con criterios y controles definidos.
- Registros de monitoreo de procesos — Evidencia de que los procesos operativos se supervisan y controlan según criterios definidos.
- Registros de evaluación de riesgos — Se completaron las evaluaciones de riesgos a intervalos planificados y se activaron por los cambios.
- Implementación del tratamiento de riesgos — Evidencia de que las acciones de tratamiento se han implementado según lo planeado, con seguimiento del estado
- Cambiar registros — Documentación de los cambios previstos y no previstos, incluyendo la evaluación de impacto y las medidas de mitigación.
- Controles de proveedores/subcontratación — Evidencia de que los procesos proporcionados externamente están identificados y controlados.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
Cláusulas relacionadas
| Cláusula | Relación |
|---|---|
| Cláusula 6: Planificación | La cláusula 8 implementa la metodología de evaluación de riesgos (6.1.2) y el plan de tratamiento de riesgos (6.1.3) definidos en la cláusula 6. |
| Cláusula 7: Soporte | Los procesos operativos dependen de los recursos, la competencia y la documentación definidos en Cláusula 7 |
| Cláusula 9: Evaluación del Desempeño | El seguimiento y la auditoría interna evalúan si las operaciones se están llevando a cabo según lo previsto. |
| Cláusula 10: Mejora | Las no conformidades operacionales identificadas en la cláusula 8 se incorporan al proceso de acción correctiva. |
| Controles del Anexo A | Los controles de su SoA se implementan a través de los procesos operativos de la Cláusula 8. |
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la cláusula 8?
SGSI.online Proporciona herramientas operativas para el funcionamiento diario de su PIMS:
- Programación de la evaluación de riesgos — Establecer intervalos planificados para las evaluaciones de riesgos con recordatorios automatizados y flujos de trabajo de reevaluación activados por cambios.
- Seguimiento del plan de tratamiento — Supervisar el estado de implementación de cada acción de tratamiento de riesgos con asignaciones de propietarios y plazos.
- control de procesos — Documentar y gestionar los procedimientos operativos con criterios, instrucciones de trabajo y recopilación de evidencias.
- Administración de suministros — Realizar un seguimiento de los procesos proporcionados externamente con registros de debida diligencia y monitoreo continuo.
- Gestión del cambio — Registre los cambios planificados y no intencionados con evaluación de impacto y seguimiento de mitigación.
Preguntas Frecuentes
¿Con qué frecuencia deben realizarse las evaluaciones de riesgos de privacidad?
La norma exige evaluaciones a “intervalos planificados” sin especificar una frecuencia. La mayoría de las organizaciones realizan una revisión exhaustiva anualmente, con evaluaciones adicionales que se activan ante cambios significativos. El intervalo planificado debe documentarse como parte de su metodología de evaluación de riesgos en Cláusula 6.1.2 y debe ser proporcional al volumen y la sensibilidad de la información de identificación personal que procesa.
¿Qué se considera un “cambio significativo” que justifique una reevaluación?
Algunos ejemplos incluyen la introducción de nuevas actividades o sistemas de procesamiento, el cambio de subcontratistas o proveedores de servicios en la nube, la entrada en nuevos mercados o jurisdicciones, cambios normativos (como nuevas leyes de protección de datos), la reestructuración organizativa y los incidentes de seguridad o las filtraciones de datos. Su metodología de evaluación de riesgos debe definir los criterios para determinar qué constituye un cambio significativo en su contexto.
¿Cómo se controlan los procesos proporcionados externamente?
Mediante una combinación de controles contractuales (acuerdos de procesamiento de datos), evaluaciones de debida diligencia, monitoreo continuo y derechos de auditoría. Debe mantener un registro de los procesos proporcionados externamente, evaluar los controles de privacidad de cada proveedor, incluir cláusulas contractuales apropiadas y revisar periódicamente su desempeño. Consulte la A.3 controles compartidos para requisitos específicos de gestión de proveedores.
Las plataformas SaaS tienen consideraciones operativas específicas; consulte nuestra guía para plataformas SaaS.
