Pruebas de controles de privacidad ISO 27701 para el RGPD de la UE

La auditoría de privacidad del viernes que expuso el problema real
Son las 15:40 de un viernes cuando María, CISO de una empresa SaaS en rápido crecimiento, se incorpora a una videollamada con el responsable de compras de un posible cliente empresarial importante.
Su equipo lleva meses trabajando en su Sistema de Gestión de la Información de Privacidad. Las políticas están aprobadas. El registro de actividades de tratamiento existe. La empresa cuenta con un plan de preparación para ISO 27701. El delegado de protección de datos dispone de flujos de trabajo para solicitudes de los interesados. El área jurídica ha actualizado los contratos de encargo de tratamiento. Ingeniería afirma que el acceso al entorno de producción está restringido.
El responsable de compras empieza de forma educada, pero directa.
“Gracias por la documentación, María. El certificado y el paquete de políticas son un buen punto de partida. Nuestro equipo de diligencia debida estará en sus instalaciones el mes que viene. Querrán ver su proceso de solicitudes de acceso de los interesados en funcionamiento, verificar los controles de minimización de datos en nuestras cuentas de prueba, revisar los registros de acceso a producción e inspeccionar evidencias de que los controles de privacidad se prueban, no solo se documentan.”
En cuestión de minutos, María recibe dos mensajes más.
El delegado de protección de datos pregunta si la nueva funcionalidad de analítica está cubierta por el registro de actividades de tratamiento, la evaluación de la base jurídica, el calendario de conservación y las obligaciones trasladadas contractualmente al encargado del tratamiento.
El responsable de cumplimiento normativo pregunta si la revisión de preparación para ISO 27701:2025 puede demostrar que los controles del PIMS operan eficazmente.
Este es el momento en el que muchos programas de privacidad se tambalean. La organización tiene documentos de privacidad, pero no evidencias de privacidad. Tiene flujos de trabajo, pero no evidencias basadas en muestras. Tiene contratos, pero registros de supervisión débiles. Tiene confianza interna, pero no una pista de auditoría defendible.
Esa brecha marca la diferencia entre el cumplimiento sobre el papel y la responsabilidad proactiva demostrable.
El RGPD de la UE hace explícito el problema. El responsable del tratamiento es responsable del cumplimiento de los principios de protección de datos y debe poder demostrarlo. Los datos personales deben tratarse de forma lícita, leal y transparente; para finalidades determinadas; limitados a lo necesario; exactos; conservados solo durante el tiempo necesario; y protegidos mediante medidas técnicas y organizativas adecuadas.
ISO 27701:2025 proporciona a las organizaciones la estructura de gestión de la privacidad. ISO/IEC 27001:2022 aporta la columna vertebral del SGSI para el alcance, el tratamiento de riesgos, el control operacional, la auditoría interna, la revisión por la dirección y la mejora continua. El RGPD de la UE impone la carga de la responsabilidad proactiva legal. NIS2, DORA, NIST CSF 2.0, el aseguramiento al estilo COBIT 2019 y las revisiones de seguridad de clientes aumentan la presión para demostrar que los controles funcionan.
La visión de Clarysec es sencilla: las pruebas de controles de privacidad no deben ser una búsqueda anual apresurada de capturas de pantalla. Deben constituir un sistema de evidencias del PIMS que vincule actividades de tratamiento, controles aplicables, riesgos, muestras, comprobaciones técnicas, hallazgos, CAPA y revisión por la dirección en un modelo trazable.
Ahí es donde el conjunto de políticas PIMS de Clarysec, Zenith Blueprint: An Auditor’s 30-Step Roadmap y Zenith Controls: The Cross-Compliance Guide se convierten en herramientas operativas, no en material de estantería.
Las pruebas de controles de privacidad son el puente entre la política y la responsabilidad proactiva
Una prueba de control de privacidad responde a tres preguntas prácticas:
- ¿El control está diseñado para cumplir la obligación de privacidad o reducir el riesgo de privacidad?
- ¿El control está implantado en el proceso, sistema, equipo, proveedor o flujo de trabajo de producto correspondiente?
- ¿El control opera eficazmente a lo largo del tiempo, con evidencias que satisfarían a un auditor, cliente, regulador o comité de riesgos del consejo de administración?
Una empresa SaaS puede afirmar que admite solicitudes de supresión. Una prueba de diseño comprueba si están definidos la política de supresión, el proceso de verificación de identidad, el modelo de titularidad, la coordinación con encargados del tratamiento, las excepciones de conservación y la gestión de copias de seguridad. Una prueba de eficacia operativa toma muestras de solicitudes de supresión completadas, compara marcas temporales, comprueba aprobaciones, revisa registros del sistema, verifica notificaciones a encargados ulteriores del tratamiento y confirma evidencias de cierre.
La Política de supervisión, auditoría y mejora del PIMS convierte esto en un requisito auditable:
[Ambos] El revisor de auditoría interna / cumplimiento DEBE probar el estado de implantación de los controles aplicables del PIMS frente a REG03 durante cada auditoría del PIMS.
De la sección “programa de auditoría interna del PIMS”, cláusula de política 4.2.5.
La expresión “frente a REG03” es central. La prueba no es una entrevista libre. REG03 actúa como referencia de aplicabilidad e implantación de los controles del PIMS. Muestra qué aplica, por qué aplica y qué debe evidenciarse.
La misma política añade:
[Ambos] El revisor de auditoría interna / cumplimiento DEBE registrar en REG12 la muestra de evidencias seleccionada del tratamiento de datos personales durante cada auditoría del PIMS.
De la sección “programa de auditoría interna del PIMS”, cláusula de política 4.2.6.
Este es el núcleo de las pruebas de controles de privacidad de ISO 27701:2025. Una auditoría del PIMS sin muestras es una conversación. Una auditoría del PIMS con evidencias seleccionadas, mapeo de controles, excepciones, acciones correctivas y trazabilidad hacia la revisión por la dirección es responsabilidad proactiva.
Empezar por el alcance, el rol y la realidad del tratamiento
La mayoría de las auditorías de privacidad débiles fallan antes de que empiecen las pruebas. Seleccionan controles genéricos sin confirmar qué datos personales se tratan, dónde residen, qué sistemas y proveedores los manejan y si la organización actúa como responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento o subencargado del tratamiento.
Las obligaciones del RGPD de la UE dependen en gran medida del rol. Un responsable del tratamiento que decide por qué y cómo se tratan los datos personales tiene obligaciones distintas de las de un encargado del tratamiento que actúa siguiendo instrucciones documentadas del cliente. La sensibilidad de los datos también importa. Los datos de empleados, los datos de cuentas de clientes, la telemetría, los datos financieros, la verificación biométrica, los datos relacionados con la salud, la comprobación de sanciones y los datos relativos a infracciones penales no conllevan el mismo riesgo.
Un programa sólido de pruebas conforme a ISO 27701:2025 empieza con disciplina de alcance.
| Pregunta de alcance | Evidencias a inspeccionar | Por qué importa |
|---|---|---|
| ¿Qué actividades de tratamiento de datos personales están incluidas en el alcance? | Registro de actividades de tratamiento, mapa de flujos de datos, inventario de sistemas, registro de proveedores | Las pruebas deben tomar muestras de tratamientos reales, no de declaraciones abstractas de políticas |
| ¿Qué rol del PIMS aplica? | Mapeo de responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento y subencargado del tratamiento | Las obligaciones del RGPD de la UE y los controles del PIMS difieren según el rol |
| ¿Qué obligaciones legales, contractuales y regulatorias aplican? | Evaluación del RGPD de la UE, contratos de encargo de tratamiento con clientes, normas sectoriales, evaluaciones de transferencias | El diseño del control debe reflejar las obligaciones reales |
| ¿Qué sistemas y proveedores tratan datos personales? | Inventario de activos, inventario de la nube, lista de encargados del tratamiento, matriz de acceso | Las pruebas operativas necesitan evidencias técnicas y de terceros |
| ¿Qué cambios afectan al tratamiento de datos personales? | Registros de cambios de producto, criterios de activación de EIPD, notas de versión, revisiones de arquitectura | La privacidad desde el diseño debe probarse antes del lanzamiento, no después de las reclamaciones |
ISO/IEC 27001:2022 respalda este enfoque integrado mediante sus requisitos sobre el contexto de la organización, los requisitos de las partes interesadas, las obligaciones legales y contractuales, el alcance del sistema de gestión, la planificación operacional y el tratamiento de riesgos. En privacidad, esto significa que el tratamiento de datos personales no puede residir en una hoja de cálculo desconectada. Debe formar parte del modelo operativo del SGSI y del PIMS.
La Política del Sistema de Gestión de la Información de Privacidad conecta las pruebas de privacidad directamente con la gobernanza:
[Todos] La alta dirección DEBE revisar anualmente en REG12 el desempeño del PIMS, los objetivos de privacidad, los riesgos abiertos, las no conformidades, las acciones correctivas y las decisiones de mejora.
De la sección “gobernanza del PIMS”, cláusula de política 6.1.1.
Si las pruebas identifican una brecha de privacidad, no es solo una nota de auditoría. Es una entrada del sistema de gestión que debe influir en el tratamiento de riesgos, las prioridades, los recursos y las decisiones de liderazgo.
Eficacia del diseño frente a eficacia operativa
Cuando un cliente pregunta si se prueban los controles de privacidad, normalmente se refiere a la eficacia operativa. Sin embargo, los auditores también examinarán la eficacia del diseño.
Un control con diseño eficaz es capaz de cumplir el requisito si se ejecuta según lo previsto. Un control con eficacia operativa se ejecuta de forma constante y está respaldado por evidencias.
| Área de control | Prueba de eficacia del diseño | Prueba de eficacia operativa |
|---|---|---|
| Recogida del consentimiento | Verificar la política, el texto del consentimiento, las reglas de base jurídica, los requisitos de interfaz de usuario y el flujo de trabajo de retirada | Tomar muestras de registros de consentimientos y retiradas, comparar marcas temporales y verificar la exclusión tras la retirada |
| Limitación de la finalidad | Revisar el registro de actividades de tratamiento, el aviso de privacidad, los requisitos de producto, la separación del consentimiento y las reglas de uso de datos | Tomar muestras de registros de usuarios, registros técnicos, exportaciones y flujos de analítica para confirmar que los datos personales no se reutilizan para finalidades no autorizadas |
| Acceso a datos personales | Revisar la política de acceso, el modelo de roles, el procedimiento de altas, cambios y bajas y el flujo de aprobación | Tomar muestras de usuarios con acceso a datos personales y verificar aprobación, necesidad de negocio, autenticación multifactor y revisión de acceso reciente |
| Incorporación del encargado del tratamiento | Revisar criterios de diligencia debida, cláusulas de contrato de encargo de tratamiento, reglas de subencargados del tratamiento y garantías aplicables a la transferencia | Tomar una muestra de un encargado del tratamiento e inspeccionar la evaluación, el contrato, la revisión de seguridad y las evidencias de supervisión de subencargados del tratamiento |
| Conservación y supresión | Revisar el calendario de conservación, las reglas de excepción, el procedimiento de supresión y la capacidad del sistema | Tomar muestras de registros suprimidos o solicitudes de supresión e inspeccionar registros técnicos, tickets y confirmaciones de encargados del tratamiento |
| Gestión de brechas de seguridad | Revisar la clasificación de incidentes, el escalado de privacidad y los criterios de notificación a la autoridad | Tomar muestras de registros de incidentes y verificar triaje, justificación de la decisión, notificaciones y lecciones aprendidas |
La Política de Auditoría y Supervisión del Cumplimiento indica directamente el propósito:
Validar la eficacia de los controles de seguridad y privacidad
De la sección “Propósito”, cláusula de política 1.1.1.
La versión para pymes mantiene el mismo principio de aseguramiento en lenguaje operativo. La Política de Auditoría y Supervisión del Cumplimiento - pyme establece:
Esta política establece el enfoque de la organización para realizar auditorías internas, revisiones de controles de seguridad y supervisión del cumplimiento. Garantiza que todos los controles, políticas, sistemas y proveedores de servicios estén sujetos a una revisión periódica y estructurada.
De la sección “Propósito”, cláusula de política 1.1.
La preparación para ISO 27701 no depende del tamaño de la empresa. Un encargado del tratamiento SaaS de 30 personas puede no necesitar las mismas herramientas de auditoría que un banco global, pero aun así debe demostrar que el acceso, la supresión, el escalado de incidentes, la gobernanza de subencargados del tratamiento y la conservación de evidencias están controlados.
La cadena de evidencias de Clarysec: REG03, REG12, CAPA y revisión
Clarysec estructura las pruebas de controles de privacidad en torno a una cadena de evidencias sencilla.
REG03 define los controles aplicables del PIMS y el estado de implantación. REG12 registra muestras, evidencias, hallazgos, deficiencias de trazabilidad, verificación de acciones correctivas y entradas para la revisión por la dirección. Los registros CAPA convierten los hallazgos en mejoras basadas en el análisis de causa raíz. La alta dirección revisa el desempeño del PIMS, los riesgos, las no conformidades, las acciones correctivas y las decisiones de mejora.
La Política de información documentada y gestión de evidencias del PIMS exige capturar los problemas de calidad de las evidencias:
[Todos] El revisor de auditoría interna / cumplimiento DEBE registrar en REG12 las deficiencias de completitud, exactitud o trazabilidad de las evidencias durante cada auditoría o revisión de cumplimiento programada.
De la sección “creación, nomenclatura y calidad de evidencias”, cláusula de política 4.3.4.
Esto importa porque no todos los hallazgos son un fallo total del control. A veces el control funcionó, pero la evidencia es incompleta. A veces un ticket de supresión está cerrado, pero ningún registro del sistema demuestra la supresión. A veces el registro de actividades de tratamiento nombra el CRM, pero omite la exportación al lago de datos. A veces existe un contrato con el proveedor, pero falta supervisión continua.
La Política de Auditoría y Supervisión del Cumplimiento también exige auditorías internas estructuradas:
Las auditorías internas deberán seguir un procedimiento documentado que incluya:
De la sección “Requisitos de implantación de la política”, cláusula de política 6.1.1.
Y cuando se produzcan hallazgos:
Todos los hallazgos deberán dar lugar a una CAPA documentada que incluya:
De la sección “Requisitos de implantación de la política”, cláusula de política 6.2.1.
La Política de gestión de riesgos - pyme refuerza la disciplina de cierre:
Debe verificarse la finalización y la eficacia de las acciones de tratamiento.
De la sección “Requisitos de implantación de la política”, cláusula de política 6.3.2.
La Política de supervisión, auditoría y mejora del PIMS cierra el ciclo:
[Todos] El revisor de auditoría interna / cumplimiento DEBE verificar en REG12 la eficacia de las acciones correctivas dentro de los 30 días posteriores al cierre notificado de la acción correctiva.
De la sección “no conformidad y acción correctiva”, cláusula de política 4.4.7.
Esta es la diferencia entre cerrar un ticket y mejorar un sistema de gestión.
Prueba práctica 1: solicitudes de supresión y responsabilidad proactiva conforme al RGPD de la UE
Las solicitudes de supresión son una de las formas más claras de probar si la responsabilidad proactiva en privacidad funciona en la práctica.
Supongamos que una empresa SaaS de tamaño medio actúa tanto como responsable del tratamiento como encargado del tratamiento. Controla datos de empleados, marketing y facturación. Trata datos de usuarios finales de clientes por cuenta de clientes empresariales. La organización quiere probar si los controles de supresión están preparados para una auditoría ISO 27701:2025 y para el aseguramiento de privacidad ante clientes conforme al RGPD de la UE.
Paso 1: Seleccionar la actividad de tratamiento desde REG03
Seleccione una actividad de tratamiento con riesgo real de privacidad, como “datos de perfil de usuarios finales de clientes tratados en la plataforma SaaS”. Confirme si la organización actúa como responsable del tratamiento, encargado del tratamiento o ambos. Identifique los controles vinculados para la gestión de derechos, la validación de instrucciones del encargado del tratamiento, la conservación, la supresión, el control de acceso, el registro de eventos, la gestión de copias de seguridad y la coordinación con proveedores.
Paso 2: Definir un objetivo de prueba preciso
Un objetivo de prueba útil es específico y está orientado a evidencias:
“Verificar que las solicitudes de supresión de datos de perfil de usuarios finales de clientes se reciben, se autentican o se validan contra instrucciones del cliente, se ejecutan dentro del flujo de trabajo definido, se registran, se completan técnicamente en los sistemas de producción, se propagan a los subencargados del tratamiento pertinentes cuando sea necesario y se cierran con evidencias.”
Paso 3: Extraer una muestra representativa
Seleccione cinco solicitudes de supresión del último trimestre. Incluya una solicitud ordinaria, una solicitud que implique a un administrador del cliente, una solicitud basada en instrucciones del encargado del tratamiento, una solicitud con excepción de conservación y una solicitud que afecte a la gestión de copias de seguridad.
El Zenith Blueprint, en la fase Audit, Review & Improvement, Step 26: Audit Execution, destaca el muestreo y la recopilación de evidencias:
✓ Entrevistar al personal relevante: Pedir a las personas responsables de los procesos que expliquen cómo cumplen los requisitos. Por ejemplo, preguntar al propietario del riesgo por la última evaluación de riesgos, o preguntar a Recursos Humanos cómo se forma a las nuevas incorporaciones en seguridad (para cubrir el control 6.3 sobre concienciación).
✓ Revisar la documentación: Comprobar que los documentos y registros existen y están actualizados.
✓ Observar las prácticas: Si es posible, realizar una observación directa.
✓ Tomar muestras y realizar comprobaciones puntuales: No se puede revisar todo, por lo que debe utilizarse muestreo.
De la fase Audit, Review & Improvement, Step 26: Audit Execution (Conducting an Internal Audit).
Paso 4: Inspeccionar las evidencias de cada muestra
Para cada solicitud muestreada, recopile el ticket de recepción, la clasificación del rol, la verificación de identidad o autorización del cliente, el registro de supresión del sistema, la decisión de excepción de conservación, la explicación de gestión de copias de seguridad, la notificación al subencargado del tratamiento, la comunicación de cierre, las marcas temporales y la aprobación del revisor.
Paso 5: Registrar los resultados en REG12
Registre en REG12 la muestra, la fuente de evidencia, el resultado del control, la excepción y la deficiencia de trazabilidad. Si la supresión se realizó pero no existe registro de producción, el control puede haber operado, pero la evidencia es débil. Si la solicitud se retrasó porque la responsabilidad del proveedor no estaba clara, el hallazgo puede afectar a la gobernanza de terceros y a las obligaciones contractuales trasladadas.
Paso 6: Crear CAPA y verificar la eficacia
Si la causa raíz es una titularidad poco clara entre soporte, asuntos jurídicos e ingeniería, la CAPA podría incluir un flujo de trabajo revisado, una matriz RACI actualizada, campos obligatorios de evidencia y comprobaciones mensuales de muestras de supresión.
El Zenith Blueprint, en la fase Audit, Review & Improvement, Step 29, explica la expectativa de cierre:
Planifique cómo va a verificar la eficacia de cada acción correctiva. Esto puede implicar programar una auditoría o comprobación de seguimiento. Por ejemplo, si su acción correctiva fue formar al personal de TI en control de acceso, puede planificar revisar las nuevas cuentas dentro de un mes para comprobar si todas tienen las aprobaciones adecuadas (verificación).
De la fase Audit, Review & Improvement, Step 29: Continual Improvement (Corrective Actions & Lessons Learned).
Para la supresión, la verificación podría consistir en tomar muestras de las cinco solicitudes de supresión siguientes tras la entrada en producción del flujo revisado. Solo entonces debería cerrarse la CAPA.
Prueba práctica 2: limitación de la finalidad y minimización de datos
Una segunda prueba de alto valor es la limitación de la finalidad. Es especialmente útil antes de la diligencia debida de clientes, lanzamientos de analítica, enriquecimiento con IA, ampliación del lago de datos o cambios en la automatización de marketing.
La plataforma SaaS de María recoge datos de usuarios de clientes para la prestación del servicio. El objetivo de control es garantizar que los datos personales se utilicen solo para finalidades determinadas y legítimas, y que no se reutilicen para analítica de marketing salvo que el usuario haya otorgado un consentimiento explícito y separado cuando sea exigible.
| Tipo de evidencia | Artefactos específicos |
|---|---|
| Documentación | Política de Protección de Datos y Privacidad, registro de actividades de tratamiento, contrato de encargo de tratamiento con el cliente, avisos de privacidad, registros de gestión del consentimiento |
| Configuración técnica | Reglas de manejo de datos de la aplicación, esquemas de bases de datos, configuraciones de interfaces de programación de aplicaciones, ajustes de trabajos ETL |
| Registros y registros operativos | Registros de acceso de la aplicación, registros de consultas de base de datos, historial de cambios de consentimiento, registros de exportación de campañas |
| Evidencias del personal | Entrevistas con el responsable de producto, el desarrollador principal, el administrador de bases de datos y el responsable de privacidad |
Una prueba operativa sólida no se detiene en la política. Toma muestras de usuarios que aceptaron marketing y de usuarios que no lo hicieron. Traza si el estado del consentimiento se refleja correctamente en las bases de datos principales de la aplicación, las tablas del lago de datos, las herramientas de campaña, los paneles y las exportaciones. Si usuarios sin consentimiento aparecen en una audiencia de marketing, la organización tiene una no conformidad concreta.
La Política de Auditoría y Supervisión del Cumplimiento para pymes proporciona el enfoque adecuado mediante un ejemplo de prueba técnica:
Verificación de controles técnicos (por ejemplo, estado de copias de seguridad, configuración de control de acceso, registros de parches)
De la sección “Requisitos de implantación de la política”, cláusula de política 6.1.1.2.
En privacidad, la verificación de controles técnicos incluye comprobaciones de sincronización del consentimiento, exportaciones de control de acceso, registros de supresión, ajustes de configuración del cifrado, pruebas de enmascaramiento de datos, alertas DLP, restricciones de copias de seguridad, eventos de supervisión y evidencias de proveedores.
Mapeo de las pruebas de privacidad con ISO/IEC 27001:2022 y la correspondencia de cumplimiento de Clarysec
Los controles de privacidad no operan de forma aislada. La protección de datos personales depende del inventario de activos, la clasificación, el control de acceso, la gobernanza de la nube, el enmascaramiento de datos, la transferencia de información, el registro de eventos, la supervisión, la supresión, la protección de registros, la supervisión de proveedores y la revisión independiente.
En Zenith Controls: The Cross-Compliance Guide, el control 5.34 del Anexo A de ISO/IEC 27001:2022, Privacidad y protección de datos personales, se mapea como control preventivo alineado con Confidencialidad, Integridad y Disponibilidad, con conceptos de ciberseguridad Identificar y Proteger, y con capacidades operativas en protección de la información, legal y cumplimiento.
Su relación con el inventario es directa:
Un inventario de activos de información (5.9) debe incluir los conjuntos de datos personales (bases de datos de clientes, archivos de Recursos Humanos). Esto sustenta 5.34 al garantizar que la organización sabe qué datos personales tiene y dónde están, que es el primer paso para protegerlos.
De Zenith Controls, Privacy and Protection of PII, control 5.34.
Para las pruebas de auditoría, esto significa que el auditor de privacidad no debe empezar solo por el aviso de privacidad. Debe empezar por el inventario de datos personales, el registro de actividades de tratamiento, los flujos de datos, el inventario de activos y el inventario de proveedores. Si el inventario es incompleto, los controles de privacidad posteriores no pueden ser plenamente fiables.
La guía también mapea el control 5.34 del Anexo A de ISO/IEC 27001:2022 con controles relacionados como 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.14 Information transfer, 5.15 Access control, 5.16 Identity management, 5.23 Information security for use of cloud services, 5.33 Protection of records, 8.11 Data masking, 8.12 Data leakage prevention y 8.10 Information deletion.
Dos controles adicionales del Anexo A de ISO/IEC 27001:2022 son especialmente relevantes:
| Control ISO/IEC 27001:2022 | Relevancia para las pruebas de privacidad | Evidencia de ejemplo |
|---|---|---|
| 5.34 Privacidad y protección de datos personales | Confirma que los requisitos de privacidad y protección de datos personales están implantados conforme a leyes, reglamentos y contratos | Registro de actividades de tratamiento, EIPD, registros de base jurídica, evidencias de solicitudes de derechos, registros de conservación |
| 5.35 Revisión independiente de la seguridad de la información | Proporciona validación objetiva de que las disposiciones de seguridad, incluidos los controles relevantes para la privacidad, se revisan de forma independiente | Informes de auditoría interna, resultados de revisión externa, muestras de REG12, registros CAPA |
| 5.36 Cumplimiento de políticas, reglas y normas de seguridad de la información | Confirma el cumplimiento continuo de las reglas y normas internas | Revisiones de cumplimiento de políticas, comprobaciones de acceso, resultados de supervisión, registros de excepciones |
La Política de Protección de Datos y Privacidad exige:
Deberá realizarse una auditoría interna de cumplimiento de privacidad con carácter anual o ante cambios organizativos o regulatorios importantes. El alcance de la auditoría deberá incluir:
De la sección “Requisitos de gobernanza”, cláusula de política 5.4.
Además, incluye:
Eficacia de las medidas técnicas y organizativas
De la sección “Requisitos de gobernanza”, cláusula de política 5.4.1.
La Política de Protección de Datos y Privacidad - pyme mantiene la misma expectativa en términos prácticos:
Deben realizarse y registrarse auditorías periódicas de privacidad o comprobaciones de controles
De la sección “Requisitos de gobernanza”, cláusula de política 5.3.3.
Por qué la responsabilidad proactiva del RGPD de la UE es ahora una cuestión de gobernanza de ciberseguridad
Las evidencias de privacidad ya no las solicitan solo los auditores de privacidad. La misma prueba puede ser requerida por un auditor de ISO 27701:2025, un auditor de ISO/IEC 27001:2022, un revisor del RGPD de la UE, una autoridad competente de NIS2, un cliente regulado por DORA, un evaluador de NIST CSF o un comité de riesgos del consejo de administración.
NIS2 Article 21 exige que las entidades esenciales e importantes implanten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para la gestión de riesgos de ciberseguridad. Article 21(2)(f) incluye expresamente políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. NIS2 también hace responsables a los órganos de dirección de aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad.
DORA se aplica desde el 17 de enero de 2025 a las entidades financieras y establece un marco detallado de resiliencia operativa digital. Exige gestión del riesgo de las TIC, supervisión del órgano de dirección, auditoría interna, remediación de hallazgos críticos, clasificación y notificación de incidentes, pruebas de resiliencia, gestión del riesgo de terceros de TIC, controles contractuales, registros de acuerdos de servicios TIC y estrategias de salida. Los proveedores de TIC que prestan servicio a entidades financieras deben esperar solicitudes de evidencias impulsadas por DORA a través del aseguramiento ante clientes.
NIST CSF 2.0 proporciona una capa de traducción útil. Su función GOVERN espera que las organizaciones comprendan las expectativas de las partes interesadas, las dependencias y las obligaciones legales, regulatorias, contractuales, de privacidad y de libertades civiles. Su enfoque de perfiles ayuda a comparar resultados actuales con resultados objetivo, identificar deficiencias y priorizar planes de acción.
| Presión del requisito | Qué deben producir las pruebas de controles de privacidad | Referencia de Clarysec |
|---|---|---|
| Responsabilidad proactiva conforme al RGPD de la UE | Evidencias de que los principios, la base jurídica, los derechos, la seguridad, la conservación y las obligaciones del encargado del tratamiento se cumplen de forma demostrable | Políticas PIMS, REG03, REG12, CAPA |
| Preparación para ISO 27701:2025 | Controles del PIMS probados, aplicabilidad basada en roles, calidad de evidencias, auditoría interna, revisión por la dirección | Política de supervisión, auditoría y mejora del PIMS |
| Aseguramiento ISO/IEC 27001:2022 | Trazabilidad del tratamiento de riesgos, justificación de la SoA, control operacional, auditoría, revisión, mejora | Zenith Blueprint, guía de correspondencia de cumplimiento Zenith Controls |
| Gobernanza NIS2 | Evaluación de la eficacia, preparación ante incidentes, controles de proveedores, supervisión por la dirección | Mapeo de los controles 5.35 y 5.36 del Anexo A de ISO/IEC 27001:2022 |
| Aseguramiento DORA | Pruebas de controles TIC, pruebas de resiliencia, evidencias de terceros, registros del ciclo de vida de incidentes | Modelo de evidencias de auditoría con correspondencia entre marcos |
| NIST CSF 2.0 | Perfil Actual, Perfil Objetivo, análisis de brechas, mejora priorizada | Zenith Blueprint Steps 24, 26, 29 |
El Zenith Blueprint refuerza la trazabilidad en Step 24:
Su SoA debe ser coherente con su Registro de Riesgos y su Plan de Tratamiento de Riesgos. Compruebe de nuevo que cada control elegido como tratamiento del riesgo esté marcado como “Aplicable” en la SoA. A la inversa, si un control está marcado como “Aplicable” en la SoA, debe existir una justificación para ello: normalmente un riesgo mapeado, un requisito legal/regulatorio o una necesidad de negocio.
De la fase Audit, Review & Improvement, Step 24: Audit, Review & Improvement.
Para las pruebas de controles de privacidad, el mismo principio se aplica a la aplicabilidad del PIMS. Todo control de privacidad aplicable debe trazarse a un riesgo del tratamiento, una obligación legal, un requisito de cliente o una necesidad de negocio. Toda prueba debe trazarse de vuelta a ese control.
Cómo juzgarán distintos auditores el mismo control
Un programa sólido de pruebas de privacidad anticipa la perspectiva de auditoría. El mismo control de supresión, control de acceso o control de incorporación del encargado del tratamiento se interpretará de forma distinta según el contexto de revisión.
| Perspectiva de auditoría | Pregunta probable de auditoría | Evidencias esperadas |
|---|---|---|
| Auditor de ISO 27701:2025 | ¿Los controles del PIMS basados en roles están implantados, evaluados y mejorados? | Aplicabilidad de REG03, muestras de REG12, registro de actividades de tratamiento, mapeo de políticas, resultados de auditoría |
| Auditor de ISO/IEC 27001:2022 | ¿El control relacionado con la privacidad está integrado en el tratamiento de riesgos, la SoA, el control operacional, la auditoría interna y la revisión por la dirección? | Registro de Riesgos, justificación de la SoA, plan de tratamiento, evidencias de control, actas de revisión por la dirección |
| Revisor del RGPD de la UE | ¿Puede el responsable del tratamiento demostrar el cumplimiento de los principios y obligaciones del RGPD de la UE? | Base jurídica, avisos, registros de solicitudes de derechos, EIPD, contratos, registros de brechas de seguridad, evidencias de conservación |
| Evaluador de NIST CSF | ¿La organización conoce sus obligaciones, define resultados objetivo, mide brechas y mejora? | Perfil Actual y Perfil Objetivo, plan de brechas, priorización de riesgos, registros de gobernanza |
| Cliente o regulador orientado a DORA | ¿Se prueban los controles TIC, se clasifican los incidentes, se supervisan los proveedores y los servicios críticos son resilientes? | Programa de pruebas, registros de incidentes, registro de proveedores, contratos, planes de salida |
| Auditor al estilo ISACA o COBIT 2019 | ¿Son eficaces los objetivos, la titularidad, las métricas, el cierre de incidencias y la supervisión de la gobernanza? | RACI, KPI, registros de incidencias, verificación CAPA, informes de gestión |
Por eso REG12 es tan valioso. Convierte el cumplimiento de privacidad en evidencias de gobernanza auditables.
Hallazgos comunes en las pruebas de controles del PIMS
Clarysec observa repetidamente los mismos hallazgos de auditoría de privacidad en organizaciones que se preparan para la certificación ISO 27701:2025, el aseguramiento ante clientes conforme al RGPD de la UE o la diligencia debida empresarial.
El registro de actividades de tratamiento no coincide con la realidad de los sistemas
El registro de actividades de tratamiento enumera el CRM y las plataformas de soporte, pero los ingenieros han añadido exportaciones de analítica, registros de observabilidad, herramientas de IA y tablas del lago de datos.
Respuesta de prueba: tomar muestras de sistemas del inventario de activos y del inventario de la nube y conciliarlos con el registro de actividades de tratamiento. Utilizar la relación entre los controles 5.9 y 5.34 del Anexo A de ISO/IEC 27001:2022 como justificación de auditoría.
El acceso a datos personales está aprobado, pero no se revisa periódicamente
Existen aprobaciones iniciales, pero las revisiones de acceso privilegiado no incluyen herramientas de suplantación de soporte, bases de datos de producción, paneles de BI ni cuentas de emergencia.
Respuesta de prueba: tomar muestras de usuarios activos con acceso a datos personales y comparar rol, necesidad de negocio, aprobación, estado de autenticación multifactor, último inicio de sesión y evidencias de revisión.
Existen contratos con encargados del tratamiento, pero la supervisión es débil
El contrato de encargo de tratamiento está firmado, pero el cuestionario del proveedor está desactualizado. Nadie ha revisado cambios de subencargados del tratamiento, ubicaciones de datos, postura de seguridad u obligaciones de notificación de incidentes.
Respuesta de prueba: tomar muestras de encargados del tratamiento críticos e inspeccionar diligencia debida, cláusulas contractuales, cambios de subencargados del tratamiento, garantías aplicables a la transferencia y registros de supervisión. Esto respalda el RGPD de la UE, las expectativas de cadena de suministro de NIS2 y las expectativas de riesgo de terceros de DORA.
Existe respuesta a incidentes, pero la clasificación de privacidad es incoherente
Los incidentes de seguridad se registran, pero el impacto en privacidad no siempre se evalúa. Los criterios de brecha de seguridad del RGPD de la UE no se documentan de forma coherente. Las obligaciones de notificación a clientes se gestionan informalmente.
Respuesta de prueba: tomar muestras de incidentes que impliquen exposición de datos e inspeccionar clasificación, escalado de privacidad, revisión legal, decisiones de notificación, preservación de evidencias, causa raíz y lecciones aprendidas.
La CAPA se cierra sin verificación de la eficacia
Se actualiza un procedimiento y se cierra el hallazgo. Nadie prueba si la siguiente muestra mejoró.
Respuesta de prueba: verificar en REG12 la eficacia de la acción correctiva dentro de los 30 días posteriores al cierre notificado, según exige la Política de supervisión, auditoría y mejora del PIMS.
Un sprint de 90 días para pruebas de controles de privacidad
Para las organizaciones que avanzan hacia la preparación para ISO 27701:2025, la diligencia debida de clientes o una revisión de responsabilidad proactiva conforme al RGPD de la UE, Clarysec recomienda un sprint focalizado de 90 días.
| Plazo | Enfoque | Salidas |
|---|---|---|
| Días 1 a 15 | Alcance y modelo de evidencias | Roles del PIMS, registro de actividades de tratamiento, aplicabilidad de REG03, riesgos prioritarios, obligaciones legales, dependencias de proveedores, reglas de nomenclatura de evidencias |
| Días 16 a 35 | Pruebas de diseño | Revisión de políticas, RACI, avisos de privacidad, base jurídica, criterios de activación de EIPD, flujos de trabajo de solicitudes de derechos, clasificación de incidentes, calendarios de conservación, controles de proveedores |
| Días 36 a 65 | Pruebas operativas | Muestras de acceso, supresión, incidentes, encargados del tratamiento, transferencias, conservación, formación, supervisión técnica, evidencias de REG12 |
| Días 66 a 80 | CAPA y tratamiento de riesgos | Causa raíz, acción correctiva, propietario, fecha límite, riesgo residual, método de verificación |
| Días 81 a 90 | Preparación de la revisión por la dirección | Paquete de desempeño del PIMS, objetivos, riesgos abiertos, no conformidades, acciones correctivas, incidencias de proveedores, decisiones de mejora |
Al final del sprint, la organización debería poder responder a las preguntas que los auditores realmente plantean:
- ¿Qué datos personales tratan?
- ¿En qué rol?
- ¿Qué controles aplican?
- ¿Por qué son aplicables?
- ¿Qué evidencias demuestran que están implantados?
- ¿Qué muestra demuestra que operan?
- ¿Qué deficiencias se encontraron?
- ¿Qué acciones correctivas se adoptaron?
- ¿Quién verificó la eficacia?
- ¿Qué revisó y decidió la alta dirección?
De la privacidad sobre el papel a la responsabilidad proactiva demostrable
Un certificado ISO 27701 es valioso, pero no es el destino final. Clientes, reguladores, consejos de administración y auditores esperan cada vez más pruebas de que los controles de privacidad están diseñados, implantados, supervisados, corregidos y gobernados.
El cumplimiento de privacidad falla cuando se trata como un proyecto documental. Supera el escrutinio cuando se convierte en un sistema de evidencias probado.
Clarysec ayuda a las organizaciones a pasar del cumplimiento declarado a la responsabilidad proactiva demostrable conectando políticas PIMS, aplicabilidad de REG03, muestras de evidencias de REG12, verificación CAPA, revisión por la dirección y mapeo entre marcos mediante Zenith Blueprint: An Auditor’s 30-Step Roadmap y Zenith Controls: The Cross-Compliance Guide.
Si su organización se está preparando para la certificación ISO 27701:2025, una revisión de responsabilidad proactiva conforme al RGPD de la UE, el aseguramiento de privacidad ante clientes, evidencias de gobernanza NIS2 o diligencia debida de proveedores impulsada por DORA, empiece con un taller focalizado de pruebas de controles de privacidad.
Clarysec puede ayudarle a mapear la aplicabilidad de REG03, construir muestras de auditoría en REG12, probar controles prioritarios del PIMS, alinear hallazgos con CAPA y preparar salidas de revisión por la dirección que resistan el escrutinio.
Su próxima auditoría de privacidad no debería ser una búsqueda apresurada de capturas de pantalla. Debería ser una demostración sólida de que la privacidad opera, se evidencia, se revisa y se mejora continuamente.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council