Solicitudes de comunicación de datos personales con arreglo al RGPD de la UE e ISO 27701

La solicitud llega un viernes a las 16:47
Un responsable de éxito del cliente reenvía un correo electrónico al área jurídica con el asunto: “SOLICITUD POLICIAL URGENTE”. Se adjunta una carta escaneada que solicita datos de la cuenta, historial de inicios de sesión, direcciones IP, registros de pago y “cualquier otra información pertinente” sobre una persona identificada. El remitente afirma pertenecer a una unidad de ciberdelincuencia. El correo solicita la comunicación en un plazo de 24 horas y pide que la organización “no notifique al interesado”.
Al mismo tiempo, el equipo de operaciones de seguridad está investigando actividad inusual en la misma cuenta de cliente. El DPO se encuentra en otra zona horaria. El CISO pregunta si esto es un incidente, una solicitud legal, una comunicación con arreglo al RGPD de la UE o las tres cosas. Ventas quiere “cooperar plenamente”. Soporte quiere saber si puede exportar el perfil del cliente. Alguien propone enviar el registro completo del CRM porque “las autoridades lo han pedido todo”.
Esta es la brecha de gobernanza.
La mayoría de las organizaciones cuenta con una política de privacidad, un plan de respuesta a incidentes y un proceso para solicitudes de acceso del interesado. Muchas pueden gestionar la diligencia debida de proveedores, la correspondencia regulatoria y la notificación de violaciones de seguridad de los datos personales. Muchas menos disponen de un flujo de trabajo repetible para solicitudes obligatorias u oficiales de comunicación de datos personales procedentes de fuerzas y cuerpos de seguridad, autoridades reguladoras, tribunales, autoridades tributarias, supervisores financieros, reguladores de telecomunicaciones, unidades de ciberdelincuencia o autoridades públicas extranjeras.
Esa brecha es peligrosa. Atender una solicitud fraudulenta puede convertirse en una violación de seguridad de los datos personales. Rechazar una solicitud legítima puede generar exposición legal. Responder sin un proceso controlado puede provocar comunicación excesiva, ruptura de la cadena de custodia, incumplimiento de plazos, transferencias internacionales ilícitas y hallazgos de auditoría.
Con arreglo al RGPD de la UE, ISO 27701:2025 e ISO/IEC 27001:2022, una solicitud oficial de comunicación de datos personales no es solo un asunto del buzón del área jurídica. Afecta a la base jurídica, la responsabilidad proactiva, la limitación de la finalidad, la minimización de datos, la confidencialidad, la aprobación basada en roles, la gobernanza de transferencias internacionales, las instrucciones del encargado del tratamiento, la preservación de evidencias, la transferencia segura y las trazas de auditoría.
La prueba práctica es sencilla: cuando llega la solicitud, ¿puede su organización demostrar que validó al solicitante, evaluó la autoridad legal, minimizó la comunicación, obtuvo las aprobaciones correctas, protegió las evidencias, registró la decisión y conservó una trazabilidad auditable?
La posición de Clarysec es clara. Trate las solicitudes de comunicación de datos personales procedentes de fuerzas y cuerpos de seguridad y autoridades reguladoras como un flujo de trabajo controlado de privacidad y seguridad de la información, no como una respuesta improvisada por correo electrónico.
Por qué las solicitudes oficiales de comunicación de datos personales son diferentes
Un acuerdo ordinario de intercambio externo de datos suele comenzar con una finalidad de negocio. Un proveedor necesita datos de empleados para nómina. Un proveedor SaaS trata identificadores de clientes. Un socio recibe datos de transacciones en virtud de un contrato. El patrón de gobernanza es conocido: diligencia debida, contrato de encargo del tratamiento, requisitos de seguridad, evaluación de la transferencia, condiciones de conservación y supervisión continua.
Las solicitudes de comunicación de datos personales procedentes de fuerzas y cuerpos de seguridad y autoridades reguladoras son diferentes. Se activan por eventos, son sensibles al tiempo, a menudo confidenciales y, en ocasiones, legalmente vinculantes. Pueden llegar fuera de los canales habituales de contratación. Pueden solicitar categorías amplias de datos personales. Pueden prohibir la notificación. Pueden implicar a autoridades extranjeras. Pueden llegar durante un incidente, una investigación de fraude, una retención legal, una revisión regulatoria o una investigación de ciberdelincuencia.
Esto genera tres requisitos inmediatos de gobernanza.
Primero, la organización debe saber quién puede responder. Un empleado de primera línea no debe decidir si una solicitud policial es válida, si el requerimiento de una autoridad reguladora es vinculante o si la notificación al cliente está prohibida.
Segundo, la cooperación debe separarse de la comunicación excesiva. El RGPD de la UE no impide la cooperación lícita con las autoridades, pero sigue exigiendo una base jurídica válida, lealtad, transparencia cuando proceda, limitación de la finalidad, minimización de datos, integridad, confidencialidad y responsabilidad proactiva.
Tercero, deben preservarse las evidencias. Si la solicitud está relacionada con un incidente, un evento de fraude, un litigio o una investigación supervisora, eliminar registros, modificarlos o exportar datos sin trazabilidad puede perjudicar tanto el cumplimiento como la defensa jurídica.
El modelo operativo más sólido conecta la gobernanza de privacidad, la aprobación legal, la gestión de evidencias, la respuesta a incidentes, la transmisión segura y el contacto con autoridades en un único flujo de trabajo.
El clúster de controles de Clarysec: autoridades, privacidad y evidencias
En Zenith Controls: guía de cumplimiento transversal, Clarysec trata la gobernanza de comunicaciones a fuerzas y cuerpos de seguridad y autoridades reguladoras como un clúster de controles conectado, no como una tarea aislada de privacidad. Los controles centrales de ISO/IEC 27002:2022 son 5.5 Contacto con autoridades, 5.28 Recopilación de evidencias y 5.34 Privacidad y protección de datos personales. Las relaciones de control de soporte incluyen clasificación y etiquetado, control de acceso, relaciones con proveedores, gestión de incidentes, registro de eventos, sincronización horaria, criptografía, enmascaramiento, supresión y transferencia de información.
Esto importa porque las solicitudes oficiales de comunicación pueden fallar en múltiples puntos. Un equipo de privacidad puede validar la base jurídica pero no preservar las evidencias. Un SOC puede preservar registros pero comunicar demasiados datos personales. El área jurídica puede aprobar una respuesta pero olvidar actualizar el registro de comunicaciones. Un encargado del tratamiento puede responder directamente a una autoridad cuando debería haber derivado la solicitud al responsable del tratamiento.
Zenith Blueprint: hoja de ruta de 30 pasos para auditores refuerza esta conexión operativa en la fase Controles en acción, Paso 22, bajo Contacto con autoridades:
El Control 5.5 garantiza que una organización esté preparada para interactuar con autoridades externas cuando sea necesario, no de forma reactiva ni bajo presión, sino mediante canales predefinidos, estructurados y bien comprendidos.
La misma sección plantea las preguntas que deben responderse antes de que llegue una solicitud real:
El principio aquí es sencillo: si su organización fuera objetivo de un ciberataque, estuviera implicada en una violación de seguridad de los datos o estuviera bajo investigación, ¿quién llamaría a las autoridades? ¿Cómo sabría qué decir? ¿En qué condiciones se iniciaría dicho contacto? Estas preguntas deben responderse por adelantado, no después de los hechos.
Para la protección de datos personales, Zenith Blueprint, en la fase Controles en acción, Paso 23, presenta la privacidad como una obligación de ciclo de vida:
El Control 5.34 exige que las organizaciones protejan la privacidad de las personas mediante la implantación de medidas adecuadas para el manejo de datos personales durante todo su ciclo de vida.
Para las evidencias, la misma fase y el mismo paso explican por qué el manejo informal es arriesgado:
El Control 5.28 reconoce que, tras un incidente, lo que puede demostrar importa tanto como lo que realmente ocurrió.
En conjunto, estos tres principios definen el modelo de gobernanza: saber quién habla con las autoridades, proteger los datos personales durante todo el ciclo de vida de la comunicación y preservar las evidencias de forma defendible.
La perspectiva del RGPD de la UE e ISO 27701:2025 sobre la comunicación obligatoria
ISO 27701:2025 refuerza la necesidad de disciplina en el Sistema de Gestión de la Privacidad de la Información. Un PIMS debe definir cómo los responsables y encargados del tratamiento de datos personales gestionan solicitudes oficiales de comunicación, incluidas la recepción y el registro, la validación, la revisión legal, la autorización, la trazabilidad, la minimización, la transmisión segura, la conservación y la revisión posterior a la respuesta.
Para un responsable del tratamiento, la cuestión central es si la organización determina los fines y medios del tratamiento y, por tanto, debe decidir si la comunicación es lícita y cómo realizarla. Para un encargado del tratamiento, la cuestión es si puede comunicar datos sin instrucciones del responsable del tratamiento, salvo que esté legalmente obligado. Para un subencargado del tratamiento, la derivación y las obligaciones trasladadas contractualmente se vuelven aún más sensibles.
El RGPD de la UE refuerza los mismos requisitos operativos. Una comunicación a una autoridad pública sigue siendo tratamiento. La organización necesita una base jurídica conforme al Article 6, una finalidad documentada, seguridad adecuada, minimización de datos conforme al Article 5(1)(c) y evidencias de responsabilidad proactiva conforme al Article 5(2). En muchos casos, la base jurídica será el Article 6(1)(c), tratamiento necesario para el cumplimiento de una obligación legal, pero solo después de que el área jurídica valide la solicitud y la jurisdicción.
Cuando la solicitud procede de una autoridad pública extranjera, la gobernanza de transferencias y la revisión del DPO son esenciales. Cuando la solicitud implica a un encargado del tratamiento, deben comprobarse las reglas contractuales de notificación e instrucciones. Cuando la solicitud se relaciona con un incidente de ciberseguridad, la respuesta debe alinearse con los requisitos de gestión de incidentes y recopilación de evidencias.
El conjunto de políticas de Clarysec convierte estos requisitos en reglas operativas.
La política corporativa P17 Política de Protección de Datos y Privacidad, cláusula 6.1.1, establece:
Todo tratamiento deberá basarse en una base jurídica válida (por ejemplo, consentimiento, contrato u obligación legal).
La misma política, cláusula 6.2.1, añade el anclaje de minimización:
Solo podrán recopilarse y tratarse los datos necesarios para una finalidad de negocio específica y legítima.
Para pymes, P17S Política de Protección de Datos y Privacidad - pyme, cláusula 6.2.1, establece:
Solo deben recopilarse y conservarse los datos personales mínimos necesarios.
Estas cláusulas importan cuando la solicitud pide “toda la información”, “historial completo” o “cualquier registro relacionado”. La respuesta correcta no es exportar todos los campos. La respuesta correcta es validar la solicitud, identificar el alcance legalmente exigido, comunicar únicamente los datos personales necesarios, documentar la decisión y conservar las evidencias.
Del pánico por correo electrónico a la comunicación controlada
Un flujo de trabajo maduro debe ser lo bastante simple para que los empleados de primera línea lo sigan y lo bastante riguroso para auditores, autoridades reguladoras y tribunales. Clarysec recomienda un modelo de siete etapas.
| Etapa | Objetivo de control | Propietario principal | Evidencias generadas |
|---|---|---|---|
| 1. Recepción y cuarentena | Evitar una respuesta informal o una comunicación accidental | Mesa de servicio, recepción del área jurídica, responsable de privacidad | Ticket de solicitud, mensaje original, adjuntos, marca temporal |
| 2. Validación de autenticidad | Confirmar la identidad del solicitante, autoridad, jurisdicción e instrumento legal | Área jurídica, DPO, Cumplimiento | Notas de validación, verificación del contacto de la autoridad, evaluación de la base jurídica |
| 3. Determinación del rol | Decidir si la organización actúa como responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento o subencargado del tratamiento | Responsable de privacidad, propietario del contrato | Evaluación del rol en el PIMS, registro de instrucciones del cliente si actúa como encargado |
| 4. Minimización del alcance | Traducir la solicitud a categorías específicas de datos personales y rangos de fechas | Propietario del proceso, Seguridad, Área jurídica | Extracto de mapeo de datos, decisión de minimización, notas de expurgo |
| 5. Aprobación | Garantizar una decisión autorizada antes de la comunicación | DPO, Área jurídica, CISO, propietario de negocio | Registro de aprobación, registro de excepción si es urgente |
| 6. Comunicación segura | Transmitir solo los datos aprobados mediante canales controlados | Seguridad, Operaciones jurídicas | Registro de transferencia, evidencias de cifrado, confirmación del destinatario |
| 7. Registro y revisión | Conservar evidencias de responsabilidad proactiva y lecciones aprendidas | Responsable del PIMS, Cumplimiento | Entrada en REG08, REG09 o REG12, traza de auditoría, revisión de cierre |
La primera regla es la derivación. Todo empleado debe saber que las solicitudes oficiales de datos personales siguen una ruta de recepción definida. Nadie debe responder desde un buzón personal. Nadie debe llamar al solicitante usando un número de teléfono impreso en una carta no verificada. Nadie debe exportar datos de clientes antes de que el área jurídica y privacidad hayan revisado la solicitud.
La política corporativa P30 Política de Respuesta a Incidentes, cláusula 6.5.5, respalda esta disciplina de derivación:
Cualquier interacción con fuerzas y cuerpos de seguridad o proveedores de servicios forenses debe coordinarse a través del equipo jurídico y el CISO.
Esa cláusula es especialmente importante cuando la solicitud de comunicación está vinculada a fraude, ciberdelincuencia, compromiso de cuenta, ransomware, amenaza interna o investigación de una violación de seguridad. El área jurídica y seguridad deben coordinarse, no operar en paralelo.
La política corporativa P37 Política de Cumplimiento Legal y Normativo, cláusula 7.3.1.2, controla las declaraciones externas:
Cualquier declaración verbal o escrita dirigida a autoridades reguladoras debe aprobarse previamente.
La cláusula 7.3.1.3 añade disciplina sobre plazos y evidencias:
Los plazos de respuesta deben supervisarse y deben mantenerse registros de evidencias.
Estas reglas no son fricción burocrática. Evitan admisiones accidentales, comunicaciones no controladas, plazos incumplidos y evidencias débiles.
Disciplina de aprobación y registro: la evidencia de auditoría que muchos equipos omiten
Muchas organizaciones pueden mostrar el correo original de la solicitud. Menos pueden mostrar quién aprobó la comunicación, qué base jurídica se utilizó, por qué ciertos campos se incluyeron o excluyeron, cómo se validó al solicitante, si se notificó al interesado o si legalmente no se notificó, y dónde se registró la respuesta.
Aquí es donde los registros del PIMS de Clarysec se vuelven centrales.
Para responsables del tratamiento, la política corporativa PII09 Política de Recopilación, Uso, Comunicación e Intercambio de Datos Personales, cláusula 4.4.1, exige:
[Responsable del tratamiento] El propietario del proceso / propietario de negocio DEBE registrar el resultado de la revisión del responsable de privacidad / responsable del PIMS en REG08 antes de que comience cualquier nueva comunicación externa o acuerdo de intercambio de datos.
La cláusula 4.4.2 especifica qué debe capturarse para intercambios recurrentes:
[Responsable del tratamiento] El responsable de proveedores / adquisiciones DEBE registrar en REG08 la identidad del destinatario, el rol del destinatario, la finalidad de la comunicación, las categorías de datos personales, la frecuencia del intercambio, la ubicación del tratamiento y la fuente de autoridad antes de que comience el intercambio externo recurrente.
Para encargados del tratamiento, la política corporativa PII12 Política de Gestión de Privacidad de Encargados, Subencargados y Terceros, cláusula 4.5.3, proporciona una regla específica para solicitudes legalmente vinculantes y autorizadas por clientes:
[Encargado del tratamiento] El responsable de proveedores / adquisiciones DEBE registrar las solicitudes de comunicación de terceros, las solicitudes de comunicación legalmente vinculantes o las solicitudes de comunicación autorizadas por el cliente en REG08 antes de la comunicación o en un plazo de dos días hábiles cuando el registro previo no esté permitido o no sea operativamente posible.
Para solicitudes de autoridades públicas extranjeras, la política corporativa PII13 Política de Transferencias Internacionales de Datos Personales, cláusula 4.4.3, es más específica:
[Ambos] El responsable de privacidad / responsable del PIMS DEBE registrar las solicitudes de comunicación de datos por una autoridad pública extranjera en REG09 o REG12 antes de la comunicación cuando sea viable, o en el plazo de un día hábil cuando el registro previo no sea viable.
La cláusula 4.4.4 añade disciplina de revisión:
[Ambos] El Delegado de Protección de Datos / asesor de privacidad DEBE revisar en REG09 o REG12 las solicitudes de comunicación de datos por una autoridad pública extranjera significativas para la privacidad antes de la respuesta cuando sea viable.
Un registro de comunicaciones es la fuente única de verdad de la organización. No debe sustituirse por correos dispersos, hilos privados de chat u hojas de cálculo ad hoc.
| Campo del registro | Qué demuestra |
|---|---|
| ID de solicitud | La solicitud se siguió de forma única |
| Fuente de la solicitud | La autoridad o el solicitante fueron identificados |
| Fuente de autoridad legal | El instrumento legal o la autoridad fueron evaluados |
| Rol en el PIMS | Se consideraron las obligaciones como responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento o subencargado del tratamiento |
| Categorías de datos personales solicitadas | Se capturó el alcance original de la solicitud |
| Categorías de datos personales aprobadas | La comunicación final fue controlada |
| Datos personales excluidos | La minimización de datos se aplicó activamente |
| Cadena de aprobación | Se registraron las aprobaciones del área jurídica, DPO, CISO y negocio |
| Método de transmisión | Se utilizaron controles de transferencia segura |
| Decisión de notificación | Se consideraron restricciones o aplazamientos de transparencia |
| Conservación y cierre | Las evidencias se conservaron y el asunto se cerró |
Ejemplo práctico: una solicitud de una autoridad reguladora en REG08
Imagine que una fintech regulada recibe una solicitud escrita de una autoridad reguladora financiera nacional que requiere datos personales relacionados con transacciones sospechosas de un cliente durante un periodo de 90 días. La solicitud pide registros de verificación de identidad, registros de transacciones, identificadores de dispositivo, tickets de soporte y notas internas de riesgo.
Usando el kit de herramientas de Clarysec, el responsable de privacidad abre un registro de comunicación en REG08.
| Campo de REG08 | Entrada de ejemplo |
|---|---|
| ID de solicitud | REG08-2026-041 |
| Fuente de la solicitud | Autoridad reguladora financiera nacional, verificada mediante el directorio oficial de contactos de supervisión |
| Tipo de solicitud | Solicitud de comunicación de datos personales de una autoridad reguladora |
| Rol en el PIMS | Responsable del tratamiento |
| Fuente de autoridad legal | Solicitud legal de información supervisora, referencia FIN-REQ-7781 |
| Finalidad | Investigación de transacciones sospechosas de un cliente identificado |
| Categorías de datos personales solicitadas | Datos de verificación de identidad, registros de transacciones, identificadores de dispositivo, comunicaciones de soporte, notas de riesgo |
| Categorías de datos personales aprobadas | Registros de transacciones, identificadores de dispositivo, campos pertinentes de verificación de identidad, dos tickets de soporte dentro del rango de fechas |
| Datos personales excluidos | Historial de soporte no relacionado, opiniones internas de analistas fuera del rango de fechas, referencias a clientes terceros |
| Justificación de minimización | Alcance limitado al cliente identificado, periodo de 90 días y registros pertinentes para las transacciones señaladas en la solicitud |
| Revisión del DPO | Aprobada con instrucciones de expurgo |
| Aprobación legal | Aprobada; redacción de la respuesta revisada |
| Revisión del CISO | Aprobados la exportación segura y el método de transferencia |
| Método de transmisión | Archivo cifrado a través del portal seguro de la autoridad reguladora |
| Notificación al interesado | Aplazada por restricción legal en la solicitud; fecha de revisión establecida |
| Conservación | Registro de solicitud y paquete de comunicación conservados conforme al calendario de retención legal |
| Evidencias de cierre | Recibo de envío del portal, hash del paquete de comunicación, cadena de aprobación |
Esta es la diferencia entre “cumplimos” y “podemos demostrar que cumplimos de forma lícita y proporcionada”. Si el cliente reclama posteriormente, si la autoridad formula preguntas de seguimiento o si un auditor muestrea la comunicación, el registro muestra la lógica de gobernanza.
Preservación de evidencias: no dañe los hechos al intentar ayudar
Cuando una solicitud de fuerzas y cuerpos de seguridad o de una autoridad reguladora está vinculada a una investigación, la gobernanza de privacidad se cruza con el análisis forense y la retención legal. Los datos comunicados suelen ser evidencias, y el acto de recopilarlos debe preservar su integridad.
La Política de Cumplimiento Legal y Normativo - pyme, cláusula 6.4.1, establece el contexto:
En caso de disputa, investigación o solicitud legal:
La cláusula 6.4.1.2 da una instrucción clara:
Los empleados no deben eliminar ni alterar materiales que puedan formar parte de una investigación.
La P31S Política de Recopilación de Evidencias y Análisis Forense - pyme, cláusula 2.2.5, incluye explícitamente:
Requerimientos de autoridades reguladoras o de fuerzas y cuerpos de seguridad.
La cláusula 5.2.1 establece disciplina de registro:
Cada elemento de evidencia digital debe registrarse con:
En términos operativos, el registro de evidencias debe capturar un identificador único, fecha y hora de recopilación, nombre del recopilador, ubicación de origen y hash criptográfico cuando proceda. El objetivo es la trazabilidad. Si los registros se exportan manualmente, se cambian los nombres de archivo, las marcas temporales no son claras o no se conserva ningún hash, la organización puede tener dificultades para demostrar la integridad posteriormente.
Un flujo de trabajo sólido de evidencias también limita el acceso. Los paquetes de comunicación deben almacenarse en ubicaciones restringidas, cifrarse en tránsito, controlarse mediante registros de transferencia y conservarse conforme a los requisitos de retención legal y conservación. Si una solicitud de comunicación se solapa con una respuesta a incidentes, el equipo debe saber cuándo pasar del modo de remediación a una postura investigadora.
Mapeo de cumplimiento transversal: un flujo de trabajo, muchas obligaciones
Un flujo de trabajo bien diseñado para solicitudes de comunicación de datos personales puede satisfacer múltiples marcos sin duplicar trabajo. Zenith Controls ayuda a las organizaciones a mapear las mismas evidencias operativas entre expectativas de privacidad, ciberseguridad, resiliencia operativa y gobernanza.
| Marco | Qué espera el auditor o la autoridad reguladora | Cómo lo respalda el flujo de trabajo de Clarysec |
|---|---|---|
| ISO 27701:2025 | Roles en el PIMS, gobernanza de comunicaciones lícitas, instrucciones del encargado del tratamiento, registros de comunicación de datos personales, tratamiento de riesgos de privacidad | Determinación del rol, REG08, REG09, REG12, revisión del DPO, justificación de minimización |
| RGPD de la UE | Base jurídica, responsabilidad proactiva, minimización de datos, seguridad, decisiones de transparencia, gobernanza de encargados y transferencias | Evaluación de autoridad legal, cadena de aprobación, paquete de comunicación limitado, evidencias de transferencia segura |
| ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Contacto con autoridades, recopilación de evidencias, protección de datos personales, control de acceso, registro de eventos, criptografía, supresión | Matriz de contacto con autoridades, registro de evidencias, exportación segura, registro de hash, decisión de conservación |
| NIS2 | Disciplina de notificación de incidentes, cooperación con autoridades competentes, responsabilidad proactiva de gobernanza, conocimiento de la cadena de suministro | Coordinación entre área jurídica y CISO, plazos de respuesta, registro de contactos de autoridades, vinculación con incidentes |
| DORA | Gobernanza de incidentes TIC en entidades financieras, interacción con autoridades reguladoras, preparación de evidencias, riesgo de terceros TIC | Derivación de solicitudes de autoridades reguladoras, registros de comunicación segura, preservación de evidencias de incidentes, interfaz con proveedores |
| NIST Cybersecurity Framework | Resultados de gobernar, identificar, proteger, detectar, responder y recuperar ante eventos de ciberseguridad | Propiedad de políticas, inventario de datos, controles de acceso, registro de eventos, flujo de respuesta, revisión posterior a la respuesta |
| COBIT 2019 | Objetivos de gobernanza para cumplimiento, riesgo, seguridad, gestión de la información y aseguramiento | Derechos de decisión, propiedad del proceso, registros de auditoría, supervisión de la dirección, mejora continua |
Las normas ISO de soporte también son relevantes. ISO/IEC 27035 ayuda a estructurar la gestión de incidentes cuando la solicitud está relacionada con un incidente. ISO/IEC 27037 respalda la identificación, recopilación, adquisición y preservación de evidencias digitales. ISO/IEC 27018 resulta útil cuando encargados en nube pública manejan datos personales. ISO/IEC 27017 respalda las responsabilidades de seguridad en la nube. ISO 22301 resulta relevante si el contacto con autoridades y las obligaciones de comunicación deben continuar durante situaciones de crisis. ISO/IEC 27006-1:2024 importa indirectamente porque los auditores de certificación esperan una implantación coherente y auditable de los controles del sistema de gestión dentro del alcance.
El objetivo no es crear un proceso de cumplimiento separado para cada marco. El objetivo es diseñar un único flujo de trabajo defendible que produzca evidencias reutilizables.
Cómo probarán el flujo de trabajo distintos auditores
Un auditor de ISO/IEC 27001:2022 normalmente empezará por la integración con el sistema de gestión. Preguntará si la organización ha determinado las partes interesadas, los requisitos legales y reglamentarios, los riesgos, los objetivos de control, los procedimientos documentados, las responsabilidades asignadas y las evidencias conservadas. Para solicitudes de comunicación, puede muestrear incidentes, correspondencia regulatoria, listas de contactos de autoridades, registros de evidencias y registros de privacidad. Probablemente probará los controles del Anexo A A.5.5 Contacto con autoridades, A.5.28 Recopilación de evidencias y A.5.34 Privacidad y protección de datos personales.
Un evaluador de ISO 27701:2025 se centrará en la claridad de roles del PIMS. ¿Actuaba usted como responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento o subencargado del tratamiento? Si era responsable del tratamiento, ¿dónde están la base jurídica y el registro de comunicación? Si era encargado del tratamiento, ¿actuó conforme a instrucciones del responsable del tratamiento salvo obligación legal en contrario? ¿Se notificó al cliente cuando era obligatorio o contractualmente esperado? ¿Se registraron y revisaron las solicitudes de autoridades públicas extranjeras?
Una autoridad reguladora del RGPD de la UE se centrará en la responsabilidad proactiva. La pregunta no será solo “¿tenía usted una obligación legal?”. Será “¿por qué se comunicó esta cantidad de datos, quién lo aprobó, cómo se validó al solicitante, qué seguridad protegió la transferencia, cómo se evaluó la transparencia y dónde está el registro?”.
Un evaluador orientado a NIST examinará la gobernanza y los resultados de respuesta. Preguntará si los roles estaban definidos, si los registros se preservaron, si el acceso a los paquetes de comunicación estaba restringido, si las actividades de respuesta fueron documentadas y si las lecciones aprendidas mejoraron el programa.
Un auditor de COBIT 2019 o ISACA probará la gobernanza sobre los derechos de decisión. Puede preguntar si la dirección definió al propietario del proceso, si las responsabilidades de Legal, Privacidad, Seguridad y Negocio están segregadas, si las excepciones se aprueban, si se informan métricas y si el aseguramiento puede basarse en las evidencias.
Una autoridad reguladora, un auditor, un CISO y un DPO pueden ver el mismo registro de forma diferente. Un profesional de privacidad ve un registro de comunicación lícita. Un auditor de seguridad ve preservación de evidencias y transferencia segura. Un auditor de gobernanza ve responsabilidad proactiva y derechos de decisión. La organización debe poder responder a todos ellos desde las mismas evidencias de control.
Patrones de fallo comunes
Clarysec observa repetidamente los mismos fallos evitables.
El primero es el contacto informal con autoridades. Un agente de policía llama a soporte, soporte quiere ayudar y el empleado confirma verbalmente datos de la cuenta. Sin validación, sin aprobación, sin registro.
El segundo es la comunicación excesiva. La organización envía el expediente completo de un cliente en lugar de los registros específicos y el rango de fechas requerido. Esto crea un riesgo evitable con arreglo al RGPD de la UE y debilita la confianza.
El tercero es la extralimitación del encargado del tratamiento. Un proveedor SaaS recibe una solicitud de fuerzas y cuerpos de seguridad relativa a datos personales controlados por el cliente y responde sin notificar ni involucrar al cliente, aunque el contrato y el rol en el PIMS exigen derivación salvo prohibición legal.
El cuarto es la falta de revisión de autoridades extranjeras. Una solicitud de una autoridad pública no nacional se trata como una comunicación ordinaria, sin evaluación de la transferencia, revisión del DPO ni entrada en REG09 o REG12.
El quinto es un manejo débil de evidencias. Los registros se exportan manualmente, las marcas temporales no son claras, se cambian los nombres de archivo y no existe hash ni registro de cadena de custodia.
El sexto es la confidencialidad no gestionada. Se copia a demasiados empleados en la solicitud, incluidas personas sin necesidad de conocer. Los detalles sensibles de la investigación se difunden por canales de chat.
El séptimo es la confusión de plazos. La organización incumple una fecha de respuesta legalmente significativa porque la solicitud permanece en un buzón en lugar de un flujo de trabajo con seguimiento.
Cada fallo es evitable con canales, registros, aprobaciones y estándares de evidencias predefinidos.
Roles y derechos de decisión
Un modelo práctico de gobernanza define los derechos de decisión antes de que llegue la primera solicitud.
| Rol | Responsabilidad en el flujo de trabajo de comunicación |
|---|---|
| Empleado de primera línea | Reenviar la solicitud al canal de recepción aprobado, no responder sobre el fondo, no comunicar datos personales |
| Equipo jurídico | Validar el instrumento legal, la jurisdicción, la autoridad, la restricción de confidencialidad y la redacción de la respuesta |
| DPO o asesor de privacidad | Evaluar las implicaciones con arreglo al RGPD de la UE e ISO 27701:2025, la minimización, la transparencia, el rol en el PIMS y los aspectos de transferencia |
| CISO | Aprobar la recopilación segura de evidencias, la exportación segura, el método de transferencia y la vinculación con incidentes |
| Propietario del proceso | Identificar sistemas y categorías de datos relevantes, confirmar el contexto de negocio |
| Responsable del PIMS | Mantener REG08, REG09 o REG12, supervisar el resultado de la revisión, conservar evidencias de auditoría |
| Aprobador ejecutivo | Aprobar comunicaciones de alto riesgo, extranjeras, estratégicas o sensibles desde el punto de vista reputacional |
| Responsable de proveedores o adquisiciones | Coordinar registros de solicitudes relacionadas con terceros o encargados del tratamiento y obligaciones contractuales |
Este modelo debe integrarse en la formación de concienciación. Los empleados no necesitan conocer cada matiz legal, pero sí deben conocer la regla: las solicitudes oficiales van al canal definido y no se comunican datos personales sin autorización.
Lista de verificación de preparación para su próximo ejercicio de mesa
Use esta lista de verificación en un taller de gobernanza de privacidad, una auditoría interna o un ejercicio de mesa.
- ¿Disponemos de un único canal de recepción para solicitudes de comunicación de datos personales procedentes de fuerzas y cuerpos de seguridad y autoridades reguladoras?
- ¿Saben los empleados que no deben responder informalmente?
- ¿Validamos la identidad del solicitante mediante fuentes de contacto independientes?
- ¿Distinguimos entre solicitudes de autoridades reguladoras, órdenes judiciales, solicitudes de fuerzas y cuerpos de seguridad, solicitudes autorizadas por clientes y solicitudes de autoridades públicas extranjeras?
- ¿Determinamos si somos responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento o subencargado del tratamiento antes de responder?
- ¿Documentamos la base jurídica, la autoridad legal, la jurisdicción y las restricciones de confidencialidad?
- ¿Aplicamos minimización de datos y expurgamos datos personales no relacionados?
- ¿Exigimos revisión del DPO o asesor de privacidad para solicitudes significativas para la privacidad?
- ¿Exigimos coordinación entre el área jurídica y el CISO cuando intervienen fuerzas y cuerpos de seguridad o cuestiones forenses?
- ¿Registramos en REG08 las comunicaciones realizadas como responsables del tratamiento?
- ¿Registramos en REG09 o REG12 las solicitudes de autoridades públicas extranjeras?
- ¿Supervisamos los plazos de respuesta y mantenemos registros de evidencias?
- ¿Preservamos materiales potencialmente relevantes y evitamos su eliminación o alteración?
- ¿Protegemos los paquetes de comunicación con cifrado, control de acceso y registro de transferencias?
- ¿Realizamos una revisión posterior a la respuesta para solicitudes de alto riesgo?
- ¿Informamos métricas y lecciones aprendidas a la dirección?
Si la respuesta a cualquiera de estas preguntas es “normalmente lo gestionamos por correo electrónico”, el proceso aún no es auditable.
Integre el flujo de trabajo en el SGSI y el PIMS
El mejor modelo de gobernanza no reside solo en el área jurídica. Forma parte del SGSI y del PIMS.
En Zenith Blueprint, la fase Fundamentos y liderazgo del SGSI, Paso 5, recomienda planificar la comunicación externa e identificar quién se comunica con autoridades reguladoras, clientes, socios y el público. Señala que el asesoramiento jurídico puede intervenir en la redacción de comunicaciones a autoridades reguladoras. Ese principio se aplica directamente a las solicitudes oficiales de comunicación de datos personales.
La fase Controles en acción operacionaliza después el flujo de trabajo mediante contacto con autoridades, protección de datos personales y recopilación de evidencias. Por eso la guía de 30 pasos de Clarysec no trata privacidad, seguridad y cumplimiento como líneas de trabajo desconectadas. Una solicitud real cruza las tres.
Para los propietarios de negocio, el beneficio es reducir el caos. Para los CISO, aclara cuándo pueden recopilarse, comunicarse o preservarse evidencias de seguridad. Para los DPO, crea responsabilidad proactiva demostrable con arreglo al RGPD de la UE e ISO 27701:2025. Para los responsables de cumplimiento, produce registros y trazas de auditoría. Para los auditores, crea una ruta clara desde el requisito de política hasta la evidencia operativa.
Próximos pasos con Clarysec
Una solicitud de una autoridad reguladora o de las fuerzas y cuerpos de seguridad no es el momento de inventar su proceso de gobernanza de privacidad. Es el momento en que se pone a prueba su proceso.
Empiece con un ejercicio de mesa. Use una solicitud realista de ciberdelincuencia, autoridad reguladora o autoridad pública extranjera. Pida al área jurídica, al DPO, al CISO, a soporte y al propietario del proceso correspondiente que recorran la recepción, validación, determinación del rol, minimización, aprobación, transferencia segura, registro, preservación de evidencias y revisión de cierre.
Después compare sus respuestas con el modelo operativo de Clarysec:
- Use Zenith Blueprint: hoja de ruta de 30 pasos para auditores para integrar el contacto con autoridades, la comunicación externa, la protección de datos personales y la recopilación de evidencias en su plan de implantación del SGSI y del PIMS.
- Use Zenith Controls: guía de cumplimiento transversal para mapear las expectativas de ISO 27701:2025, RGPD de la UE, ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, NIST y COBIT 2019 en una única narrativa de control auditable.
- Use las políticas de Clarysec de Protección de Datos y Privacidad, Respuesta a Incidentes, Cumplimiento Legal y Normativo, Recopilación de Evidencias y Análisis Forense, Comunicación de Datos Personales, Gestión de Encargados y Transferencias Internacionales para definir reglas de flujo de trabajo, registros, aprobaciones y requisitos de evidencias.
Clarysec ayuda a los equipos a pasar del pánico reactivo a la ejecución controlada. Descargue los kits de herramientas de Clarysec pertinentes, ejecute el ejercicio de mesa y reserve una evaluación de gobernanza de comunicaciones para asegurarse de que su próxima respuesta sea lícita, mínima, aprobada, registrada, segura y auditable.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


