Organismo Internacional de Estandarización (2011).

Tecnología de la información - Técnicas

de seguridad - Marco de privacidad : ISO/IEC 29100 (32 p.) (1a ed) Ginebra : ISO . (069474)

ISO/IEC 29100:2011(E)

ISO/IEC
ESTÁNDAR 29100
INTERNACIONAL Primera edición
2011-12-15

Tecnología de la información Técnicas de Seguridad -

Marco de Privacidad

Technologies de l'information Techniques de sécurité Cadre privé

Número de referencia
ISO / IEC 29100: 2011 (E)

© ISO/IEC 2011

1 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

COPYRIGHT documento protegido

© ISO / IEC 2011

Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede
ser reproducida o utilizada en cualquier forma o por cualquier medio, electrónico o mecánico, de fotocopia o de
microfilm, sin el permiso por escrito de ISO en la dirección abajo o Organismo miembro de ISO en el país del
solicitante.
La oficina de derechos de autor ISO
-1211 Ginebra 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
web www.iso.org
Publicado en Suiza
© ISO / IEC 2011 - Todos los derechos reservados

2 © ISO / IEC 2011 - Todos los derechos reservados

 ISO/IEC 29100:2011(E)

Contenido

Prefacio .................................................................................................................................................................................. 5
Introducción ......................................................................................................................................................................... 6
1. Alcance......................................................................................................................................................................... 7
2. Términos y definiciones ........................................................................................................................................... 7
3. Símbolos y términos abreviados ......................................................................................................................... 11
4. Elementos básicos del marco de privacidad .................................................................................................... 11
4.1 Resumen del marco de privacidad ................................................................................................................ 11
4.2 Actores y roles .................................................................................................................................................... 11
4.2.1 Titular de PII.................................................................................................................................................... 12
4.2.2 Responsable del tratamiento de PII ......................................................................................................... 12
4.2.3 Procesadores de PII...................................................................................................................................... 12
4.2.4 Terceros .......................................................................................................................................................... 12
4.3 Interacciones ....................................................................................................................................................... 13
4.4 Reconociendo los Datos Personales ............................................................................................................. 14
4.4.1 Identificadores ............................................................................................................................................... 14
4.4.2 Otras características distintivas ................................................................................................................. 14
4.4.3 Información que está o podría estar vinculada a un titular de PII .................................................... 16
4.4.4 Datos Seudónimos ....................................................................................................................................... 16
4.4.5 Metadatos ....................................................................................................................................................... 16
4.4.6 Datos Personales no solicitados ............................................................................................................... 17
4.4.7 Datos Personales sensibles ........................................................................................................................ 17
4.5 Requisitos para la protección de la privacidad ........................................................................................... 17
4.5.1 Factores legales y regulatorios .................................................................................................................. 19
4.5.2 Factores contractuales ................................................................................................................................ 20
4.5.3 Factores de protección de privacidad ...................................................................................................... 20
4.5.4 Otros factores ................................................................................................................................................ 20
4.6 Políticas de Privacidad ...................................................................................................................................... 21
4.7 Controles de privacidad.................................................................................................................................... 22
5. Los principios de privacidad del ISO/IEC 29100 .............................................................................................. 23
5.1 Visión general de los principios de privacidad ............................................................................................ 23
5.2 Consentimiento y elección ............................................................................................................................... 23
5.3 La legitimidad del propósito y especificación .............................................................................................. 24
5.4 Límites a la recolección..................................................................................................................................... 25
5.5 Minimización de los datos................................................................................................................................ 25
5.6 Límites al uso, retención y divulgación.......................................................................................................... 26
5.7 Exactitud y calidad ............................................................................................................................................. 26
5.8 Apertura, transparencia y notificación .......................................................................................................... 27
5.9 Participación y acceso individual .................................................................................................................... 27

3 © ISO / IEC 2011 - Todos los derechos reservados

 ISO/IEC 29100:2011(E)

5.10 Responsabilidades ........................................................................................................................................ 28

5.11 Seguridad de la Información ...................................................................................................................... 29
5.12 Cumplimiento de la Privacidad .................................................................................................................. 29
Anexo A ................................................................................................................................................................................ 31
Bibliografía .......................................................................................................................................................................... 32

4 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Prefacio

La ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica

Internacional del) forman el sistema especializado para la normalización en todo el mundo.
Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de
Normas Internacionales a través de comités técnicos establecidos por la organización
respectiva, para hacer frente a campos particulares de la actividad técnica. Comités técnicos
de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en
el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité
técnico conjunto, ISO / IEC JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las
Directivas ISO / IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los
Proyectos de Normas Internacionales adoptados por el comité técnico conjunto son enviados
a los organismos nacionales para su votación. La publicación como Norma Internacional
requiere la aprobación por al menos el 75% de los organismos nacionales con derecho a voto.

Se llama la atención a la posibilidad de que algunos de los elementos de este documento

puedan estar sujetos a derechos de patente. ISO e IEC no se hace responsable de la
identificación de cualquiera o todos los derechos de patente.

ISO/IEC 29100 fue preparada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la
información, Subcomité SC 27, Técnicas de seguridad de TI.

5 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Introducción

Esta Norma Internacional proporciona un marco de alto nivel para la protección de datos
personales (PII) dentro de los sistemas de tecnología de la información y la comunicación (TIC).
Es de naturaleza general y aspectos organizacionales, técnicos y procedimentales en un marco
de privacidad total.

El marco de privacidad está diseñado para ayudar a las organizaciones a definir su privacidad
salvaguardando los requisitos relacionados con los PII dentro de un entorno de TIC:

- especificando una terminología común de privacidad;

- definición de los actores y sus roles en el procesamiento de los PII;
- la descripción de los requisitos de protección de privacidad; y
- hace referencia a los principios de privacidad conocido.

En algunas jurisdicciones, esta norma internacional provee referencias para salvaguardar la

privacidad, esto podría entenderse como algo complementario a las exigencias legales para la
protección de PII. Debido al número creciente de las tecnologías de la información
comunicaciones que procesan información de PII, es importante disponer de estándares de
seguridad de la información internacionales que proporcionen una comprensión común para
la protección de PII. Esta Norma Internacional se destina a mejorar las normas de seguridad
existentes agregando un enfoque pertinente para el procesamiento de PII.

El aumento en la utilización comercial, el valor de los PII, el intercambio de información de PII a

través de las jurisdicciones legales, y la creciente complejidad de los sistemas de TIC, pueden
hacer que sea difícil para una organización asegurar la privacidad y lograr el cumplimiento de
las diversas leyes aplicables. Los interesados en privacidad pueden evitar la incertidumbre y la
desconfianza que surjan por el manejo de los asuntos de privacidad y evitar los casos de
abuso de PII.

El uso de este estándar internacional:

- ayuda en el diseño, ejecución, operación y mantenimiento de los sistemas de TIC que
manejar y protegen PII;
- impulsar soluciones innovadoras para habilitar la protección de los PII dentro de los
sistemas de TIC; y
- mejorar los programas de privacidad de las organizaciones mediante el uso de las
mejores prácticas.

El marco de confidencialidad previsto en esta norma internacional pueden servir como base
para iniciativas de estandarización de privacidad adicionales, tales como:
- una arquitectura de referencia técnica;
- la implementación y uso de tecnologías específicas de privacidad y, en general, la
gestión de la privacidad;
- controles de privacidad para los procesos de datos externos;
- las evaluaciones de riesgos de privacidad; o
- especificaciones de ingeniería específicos.

6 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Algunas jurisdicciones pueden requerir el cumplimiento de uno o más de los documentos a

que se hace referencia en la norma ISO/IEC JTC 1/SC 27 WG 5 Documento permanente 2 (WG
5 SD2) - Documentos de privacidad oficial referencias [3] o con otras leyes y reglamentos
aplicables, pero esta norma internacional no pretende ser un modelo global política, ni un
marco legislativo.

Tecnología de la información - Técnicas de seguridad Marco de

Privacidad

1. Alcance

La presente Norma Internacional proporciona un marco de privacidad que

- Especifica una terminología común de privacidad;

- Define los actores y sus roles en el procesamiento de los datos personales (PII);
- Describe las consideraciones de salvaguardas para la privacidad; y
- Proporciona referencias a los principios de privacidad conocidos para la tecnología de la
información

Esta Norma Internacional es aplicable a personas naturales y organizaciones involucradas en

la especificación, el reclutamiento, la arquitectura, el diseño, desarrollo, pruebas,
mantenimiento, administración y operación de sistemas o servicios de información y
tecnología de las comunicaciones donde se requieran controles necesarios de privacidad para
el procesamiento de datos personales.

2. Términos y definiciones

Para los propósitos de este documento, los siguientes términos y definiciones son aplicables.

NOTA: Con el fin de hacer más fácil el uso de la familia de normas ISO/IEC 27000 en el contexto específico de la
privacidad y la integración de los conceptos de privacidad, el cuadro del Anexo A proporciona la correspondencia
entre el ISO/IEC 27000 conceptos con la norma ISO / IEC 29100 conceptos.

2.1
Anonimato
Característica de la información que no permite que un titular de datos personales sea
identificado directa o indirectamente

2.2
Anonimización
Proceso por el cual los datos personales (PII) son irreversiblemente alterados, de tal manera
que, un titular de PII no puede ser identificado directa o indirectamente, ya sea por el
responsable del tratamiento de PII solo o en colaboración con cualquier otra parte (terceros)

2.3
Datos anónimos
Datos que se ha producido como resultado de un proceso de anonimización de datos
personales
7 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

2.4
Consentimiento
Datos personales (PII) brindados mediante un acuerdo específico e informado para su
tratamiento

2.5
Identificabilidad
Condición que resulta en un principio de datos personales (PII) de ser identificados, directa o
indirectamente, sobre la base de un conjunto dado de PII

2.6
Identificar
Establecer la relación entre un titular de PII y un conjunto de PII

2.7
Identidad
Conjunto de atributos que permiten identificar al titular de los datos personales

2.8
opt-in (optar)
Proceso o tipo de política, mediante la cual, se requiere que el titular de PII tome una acción
para expresar el consentimiento explícito y previo para que sus PII sean procesados para un
propósito particular

NOTA: otro término que se utiliza a menudo con el principio de confidencialidad y consentimiento 'Choice' es "opt-
out". Describe un proceso o el tipo de política por la cual el titular de PII está obligado a tomar una acción separada
para retener o retirar el consentimiento, u oponerse a un tipo específico de procesamiento. El uso de una política de
opt-out presume que el responsable del tratamiento de PII tiene derecho a procesar los datos personales. Este
derecho puede ser implícito por alguna acción del titular de PII diferente del consentimiento (por ejemplo, realizar un
pedido en la tienda online).

2.9
Datos personales PII
Cualquier información que (a) puede utilizarse para identificar al titular de PII a quien se refiere
dicha información, o (b) es o podría vincularse directa o indirectamente a un titular de PII

NOTA: Para determinar si un titular de PII es identificable, se deben tomar en cuenta todos los medios que
razonablemente pueden ser utilizados por la parte interesada, o por cualquier otra parte, para identificar a la persona
natural.

2.10
Responsable del tratamiento de PII
Parte interesada en la privacidad (O partes interesadas en la privacidad) que determina los
propósitos y medios para procesar información personal identificable (PII) que no sean
personas naturales que usan datos para fines personales

NOTA: Un responsable del tratamiento de PII a veces da instrucciones a otros (por ejemplo, procesadores de PII) para
procesar los PII en su nombre, mientras que la responsabilidad derivada del tratamiento permanece con el
responsable del tratamiento de PII.

2.11
8 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

Titular de PII
Persona natural a la que se refiere la información personal identificable (PII)

NOTA Dependiendo de la jurisdicción y la legislación de protección de datos y privacidad, el sinónimo de "sujeto de

datos" también puede ser utilizado en lugar del término "titular de PII".

2.12
Procesador de PII
Interesados que procesan los datos personales (PII) en nombre de y de acuerdo con las
instrucciones de un responsable del tratamiento de PII

2.13
Violación de la privacidad
Situación de infracción de privacidad donde se procesa los datos personales en violación de
uno o más requisitos de protección de privacidad pertinentes

2.14
Controles de privacidad
Medidas que tratan los riesgos de privacidad, reduciendo su probabilidad o sus consecuencias

Nota 1 los controles de privacidad incluyen los tipos organizativos, físicos y técnicos necesarios; por ejemplo, políticas,
procedimientos, directrices, contratos legales, prácticas de gestión o estructuras organizativas.

Nota 2 Control también se utiliza como sinónimo de salvaguarda o contramedida.

2.15
Tecnología de mejora de la privacidad
PET
control de privacidad, que consiste en productos o servicios de Tecnologías de información y
la comunicación (TIC), que protegen la privacidad eliminando o reduciendo los accesos a
datos personales (PII) o mediante la prevención de su procesamiento innecesario y/o no
deseada, todo ello sin perder la funcionalidad de los sistemas de TIC

NOTA 1 Ejemplos de PET incluyen, pero no se limitan a, las herramientas de anonimato y de seudónimos que eliminan,
reducen, enmascaran, o impiden el procesamiento innecesario, no autorizado y/o indeseable de los PII.
NOTA 2 El enmascaramiento es el proceso que oscurece los datos personales.

2.16
Política de privacidad
Intención y dirección general, normas y compromiso formalmente expresadas por el
responsable del tratamiento de PII, relacionadas con el procesamiento de datos personales
en un escenario particular

2.17
Preferencias de privacidad
Opciones específicas realizadas por el titular de PII, sobre cómo se deben procesar sus datos
personales para un propósito particular

2.18
Principios de privacidad
Conjunto de valores comunes que rigen la protección de la privacidad de los datos personales
(PII) cuando se procesa en los sistemas de tecnología de información y comunicación

9 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

2.19
Riesgo de privacidad
Efecto de la incertidumbre sobre la privacidad

Nota 1 El riesgo se define como "el efecto de la incertidumbre sobre los objetivos", según la Guía ISO 73 e ISO 31000.

Nota 2 La incertidumbre es el estado, aunque sea parcial, de la deficiencia de la información relacionada con el
conocimiento, entendimiento o de un evento, su consecuencia, o probabilidad.

2.20
Evaluación de riesgo para la privacidad
Proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos en
relación con el procesamiento de los datos personales (PII)

2.21
Requisitos de protección de privacidad
Un conjunto de requisitos que una organización ha de tener en cuenta al procesar datos
personales (PII) respecto a la protección de la privacidad.

2.22
Partes interesadas de la privacidad
Persona natural o jurídica, entidad pública, agencia o cualquier otro organismo que puede
afectar, ser afectado por, o se percibe afectado por una decisión o actividad relacionada con el
procesamiento de datos personales (PII)

2.23
Procesamiento de PII
Operación o conjunto de operaciones realizadas sobre los datos personales (PII)

Nota Ejemplos de operaciones de procesamiento de PII incluyen, pero no están limitadas a, la recolección, el
almacenamiento, la modificación, la recuperación, consulta, divulgación, anonimato, seudónimos, difusión o puesta a
disposición, la supresión o La destrucción de los PII.

2.24
Seudomizacion
Proceso aplicado a los datos personales (PII) que lo sustituye con un alias

Nota 1 La seudomizacion puede realizarse ya sea por ellos mismos o por los responsables del tratamiento. Puede ser
utilizado por los titulares en un recurso o servicio sin revelar su identidad a este recurso o servicio (o entre servicios.

NOTA 2 La seudomizacion no descarta la posibilidad de que podría haber (un conjunto restringido de) partes
interesadas de privacidad que no sea el responsables del tratamiento de los PII, que sean capaces de determinar la
identidad del titular de los PII basado en el alias y los datos vinculados a ella.

2.25
Uso secundario
Procesamiento (tratamiento) de los datos personales (PII) en condiciones que difieren de las
iniciales

NOTA: condiciones que difieren de las iniciales podrían incluir, por ejemplo, un nuevo propósito (finalidad) para el
procesamiento de información, un nuevo destinatario de los PII, etc.

10 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

2.26
Datos personales sensibles
Categoría de datos personales (PII), cuya naturaleza es sensible, como los relacionados a la
esfera más íntima de la persona, o que puedan tener un impacto significativo sobre el titular
de los datos personales.

NOTA En algunas jurisdicciones o en contextos específicos, PII sensibles se define en función de la naturaleza de los
datos personales y puede consistir en información que revela el origen racial, las opiniones políticas o creencias
religiosas o de otro tipo, datos personales sobre la salud, la vida sexual o condenas penales, así como otra
información de identificación personal que podría definirse como sensible.

2.27
Terceras partes
Partes interesadas en la privacidad que no son el titular, el responsables del tratamiento, el
procesador, ni las personas naturales que están autorizadas a tratar los datos bajo la
autoridad directa del responsable del tratamiento PII o el procesador PII

3. Símbolos y términos abreviados

Las siguientes abreviaturas son comunes a la norma ISO/IEC 29100.

- TIC: Tecnología de la información y la comunicación

- PET: Tecnología de mejora de la privacidad
- PII: Datos personales

4. Elementos básicos del marco de privacidad

4.1 Resumen del marco de privacidad

Los siguientes componentes se refieren a la privacidad y al procesamiento de PII en sistemas

de TIC y conforman el marco de privacidad descrito en esta norma internacional:
- los actores y roles;
- interacciones;
- reconocimiento de PII;
- requisitos para la protección de la privacidad;
- políticas de privacidad; y
- controles de privacidad.
Para el desarrollo de este marco de privacidad, los conceptos, definiciones y recomendaciones
de otras fuentes oficiales han sido considerados. Estas fuentes se pueden encontrar en la
norma ISO/IEC JTC 1/SC 27 WG 5 Documento permanente 2 (WG 5 SD2) - Documentos
oficiales de privacidad - referencias [3].

4.2 Actores y roles

Para los propósitos de esta norma, es importante identificar a los actores involucrados en el
procesamiento de los PII. Existen cuatro tipos de actores que pueden estar implicados en el
procesamiento los datos personales: los titulares de PII, responsables del tratamiento,
procesadores y terceros.
11 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

4.2.1 Titular de PII

Los titulares de PII proporcionan sus PII, para su procesamiento, a los responsables del
tratamiento y procesadores de PII y, cuando no se disponga lo contrario por la ley aplicable,
dan su consentimiento y determinan sus preferencias de privacidad para saber cómo se debe
procesar sus PII.
Por ejemplo, un empleado que figura en el sistema de recursos humanos de una empresa, el
consumidor mencionado en un informe de crédito, un paciente en un expediente médico
electrónico.
No siempre es necesario que la persona natural respectiva se identifique directamente por su
nombre para poder ser considerada como un titular de PII. Si la persona natural a la que se
refiere los PII puede identificarse indirectamente (por ejemplo, a través de un identificador de
cuenta, número de seguro social o incluso a través de la combinación de atributos
disponibles), se considera que es el titular para ese conjunto de PII.

4.2.2 Responsable del tratamiento de PII

Un responsable del tratamiento determina qué (finalidad) y cómo (los medios) se lleva a cabo
el procesamiento de los datos personales .

El responsable del tratamiento de los PII debe garantizar el cumplimiento de los principios de
privacidad en este marco durante el procesamiento de Datos personales bajo su control (por
ejemplo, mediante la implementación de los controles de privacidad necesarias). Puede haber
más de un responsable del tratamiento de PII para el mismo conjunto de PII o conjunto de
operaciones realizadas sobre los PII (Para los mismos o diferentes propósitos legítimos). En
este caso, los diferentes responsables del tratamiento de PII deberán trabajar juntos y tomar
las medidas necesarias para garantizar que los principios de privacidad se cumplen durante el
procesamiento de datos personales.
Un responsable del tratamiento de PII también puede decidir tener todas o parte de las
operaciones de tratamiento realizadas por diferentes actores de privacidad en su nombre. Los
responsables del tratamiento de PII deben evaluar cuidadosamente si son o no PII sensibles y
aplicar razonable y apropiadamente los niveles de privacidad y los controles de seguridad
basados en los requisitos establecidos en la jurisdicción pertinente, así como los posibles
efectos adversos para los titulares de PII identificados durante la evaluación del riesgo para la
privacidad.

4.2.3 Procesadores de PII

Un procesador de PII lleva a cabo el procesamiento de los datos personales en nombre de un

responsable del tratamiento de PII, actúa en nombre de, o de acuerdo con las instrucciones
del responsable del tratamiento de PII, cumple los requisitos de privacidad establecidos e
implementa los correspondientes controles de privacidad. En algunas jurisdicciones, el
procesador de PII está vinculado por un contrato legal.

4.2.4 Terceros

Un tercero puede recibir PII desde un responsable del tratamiento o un procesador de PII. Un
tercero no procesa datos personales en nombre del responsable del tratamiento de PII. En

12 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

general, Un tercero se convertirá en un responsable del tratamiento de PII, por derecho

propio, una vez que ha recibido los datos personales en cuestión.

4.3 Interacciones

Los actores identificados en la cláusula anterior pueden interactuar entre sí en una variedad
de formas. En cuanto a los posibles flujos de PII entre el titular, el responsable del tratamiento
y el procesador, se pueden identificar los siguientes escenarios:

a) el titular de PII proporciona su Datos personales a un responsable del tratamiento de

PII (por ejemplo, cuando se registra para un servicio proporcionado por el responsable
del tratamiento de PII);
b) el responsable del tratamiento proporciona los datos personales a un procesador
que la procesa en nombre del responsable del tratamiento (por ejemplo, como parte
de un acuerdo de subcontratación);
c) el titular de PII proporciona a un procesador de PII que procesa los datos personales
en nombre del responsable del tratamiento de PII;
d) el responsable del tratamiento proporciona Datos personales del titular (por ejemplo,
en cumplimiento de una solicitud hecha por el titular PII);
e) el procesador PII proporciona al titular Datos personales (por ejemplo, según lo
indicado por el responsable del tratamiento de PII); y
f) el procesador de PII proporciona al responsable del tratamiento de PII Datos
personales (por ejemplo, después de haber realizado el servicio para el que fue
designado).

Las funciones del titular de PII, el responsable del tratamiento de PII, procesador de PII y
terceros, en estos escenarios, se ilustran en la Tabla 1.

Existe la necesidad de distinguir entre los procesadores PII y terceros porque el control legal
(jurídico) de los PII permanece en el responsable del tratamiento cuando se envía a través del
procesador PII, mientras que un tercero pueda convertirse en un responsable del tratamiento
de PII por derecho propio, una vez que ha recibido los PII en cuestión. Por ejemplo, cuando
un tercero hace que la decisión de transferir los PII que ha recibido de un responsable del
tratamiento de PII a otra parte, estaría actuando como un responsable del tratamiento de PII
en su propio derecho y, por lo tanto, dejar de ser considerado como un tercero.

En lo que se refiere a los posibles flujos de PII entre los controladores y procesadores de PII
por un lado, y terceros por otro lado, los siguientes escenarios se pueden identificar:

g) el responsable del tratamiento proporciona PII a un tercero (por ejemplo, en el

contexto de un acuerdo de negocios); y
h) el procesador de PII proporciona a un tercero (por ejemplo, según lo indicado por el
responsable del tratamiento de PII).

Las funciones del responsable del tratamiento de PII y un tercero en estos escenarios también
se ilustran en la Tabla 1.

Tabla 1 - posibles flujos y roles de PII entre el titular, responsable del tratamiento, procesador
y terceros

13 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Responsable del
Titular de PII Procesador de PII Terceros
tratamiento de PII
Escenario a) Proveedor de PII Receptor de PII - -
Escenario b) - Proveedor de PII Receptor de PII -
Escenario c) Proveedor de PII - Receptor de PII -
Escenario d) Receptor de PII Proveedor de PII - -
Escenario e) Receptor de PII - Proveedor de PII -
Escenario f) - Receptor de PII Proveedor de PII -
Escenario g) - Proveedor de PII - Receptor de PII
Escenario h) - - Proveedor de PII Receptor de PII

4.4 Reconociendo los Datos Personales

Para determinar si una persona natural debe considerarse o no identificable, hay que tener en
cuenta varios factores. En particular, deben considerarse todos los medios que,
razonablemente, puedan utilizar los interesados en la protección de la privacidad que posean
los datos o cualquier otra parte para identificar a una persona. Los sistemas de TIC deberían
aportar los mecanismos que harán que el titular de PII esté al tanto de sus datos personales y
proporcione los controles apropiados sobre el intercambio de esa información.
Los siguientes sub-cláusulas proporcionan una explicación adicional sobre cómo determinar si
un titular de datos personales debe considerarse identificable o no.

4.4.1 Identificadores

En ciertos casos, la identificabilidad del titular de datos personales podría ser muy clara (por
ejemplo, cuando la información contiene o está asociado con un identificador que se utiliza
para referirse o comunicarse con el titular). La información puede ser considerada como datos
personales en al menos los siguientes casos:
- Si contiene o está asociado con un identificador que se refiere a una persona natural
(por ejemplo, un número de seguridad social);
- Si contiene o está asociado con un identificador que puede estar relacionada con una
persona natural (por ejemplo, un número de pasaporte, un número de cuenta);
- Si contiene o está asociado con un identificador que se puede utilizar para establecer
una comunicación con una persona natural identificada (por ejemplo, una ubicación
geográfica precisa, un número de teléfono); o
- Si contiene una referencia que vincula los datos a cualquiera de los identificadores
anteriores.

4.4.2 Otras características distintivas

La información no necesariamente debe estar asociada con un identificador para poder ser
considerada PII. La información también se considerará PII si contiene o está asociada a una
característica que distingue a una persona natural de otras personas (por ejemplo, datos
biométricos).

14 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Cualquier atributo que asuma un valor que identifique de forma única un titular de PII debe
considerarse como una característica distintiva. Tenga en cuenta que si una característica
determinada que distingue o no una persona natural, de otras personas, puede cambiar
dependiendo del contexto de uso. Por ejemplo, si bien el apellido de una persona natural
puede ser insuficiente para identificarla a escala global, con frecuencia será suficiente para
distinguir a una persona natural en una escala de empresa.

Además, también puede haber situaciones en las que una persona es identificable incluso si
no hay un solo atributo que la identifique de manera única. Este es el caso donde una
combinación de varios atributos considerados en conjunto distingue a esta persona natural de
otras personas. Si una persona natural es o no identificable sobre la base de una combinación
de atributos puede ser dependiente del dominio específico utilizado. Por ejemplo, la
combinación de los atributos "mujer", "45" y "abogado" pueden ser suficientes para identificar
a una persona natural dentro de una empresa en particular, pero a menudo será insuficiente
para identificar a esa persona fuera de esa empresa.

La Tabla 2 proporciona algunos ejemplos de atributos que podrían ser considerados PII,
dependiendo del dominio utilizado. Estos ejemplos son informativos.

Tabla 2 - Ejemplo de atributos que pueden ser utilizados para identificar personas naturales
EJEMPLOS

Edad o necesidades especiales de las personas naturales

Las acusaciones de conducta criminal
Toda la información recogida durante los servicios de salud
Cuenta bancaria
Identificador biométrico
Tarjetas de crédito
Condenas penales o delitos cometidos
Informes de investigación criminal
Número de cliente
Fecha de nacimiento
Información médica de diagnóstico
Discapacidad
Facturas medicas
Legajos, salarios y archivos de recursos humanos
Perfil financiero
Género
Posición Geo referenciada (GPS)
Trayectorias de GPS
Dirección de casa
Dirección IP
Ubicación derivada de sistemas de telecomunicaciones
Historial médico
Nombres
Identificadores nacionales (por ejemplo, número de pasaporte)
Correo electrónico personal
Números de identificación personal (PIN) o contraseñas
Intereses personales derivados del uso de los sitios web
Perfil personal o de comportamiento
Número de teléfono personal
Fotografía o vídeo identificable a una persona natural
Preferencias de productos y servicios
Origen racial o étnico
Creencias religiosas o filosóficas
Orientación sexual
Pertenencia a sindicatos
Facturas de servicios públicos

15 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

4.4.3 Información que está o podría estar vinculada a un titular de PII

Si la información en cuestión no identifica a un titular de PII, debe determinarse si dicha

información está, o puede vincularse a la identidad de una persona natural en determinado
contexto.

Una vez establecida la relación con una persona natural identificable, es necesario decidir si la
información dice algo sobre esta persona natural, por ejemplo si se refiere a sus
características o comportamiento. Los ejemplos incluyen registros médicos, perfiles
financieros o los intereses personales derivados del seguimiento del uso de sitios web.
Además, las declaraciones de atributos simples sobre una persona natural como la edad o el
género pueden calificar la información vinculada como PII.
Independientemente si la relación con una persona natural identificable puede ser
establecida, dicha información debe ser tratada como Datos Personales.

4.4.4 Datos Seudónimos

Con el fin de restringir la capacidad de los procesadores y responsables del tratamiento de PII
para identificar a los titulares de PII, la información de identidad puede ser reemplazada por
un alias. Esta sustitución se realiza generalmente por un proveedor de PII antes de transmitir
los datos personales a un receptor de PII, en particular en los escenarios a, b, c, g y h de la
Tabla 1.
Ciertos procesos de negocio se basan en operaciones que realizan la sustitución y controlan la
tabla o la función de asignación. Esto es a menudo el caso donde los datos sensibles son
procesados por las partes interesadas de privacidad que no los recolectaron.
La sustitución se considera seudónimos siempre que:

a) el resto de atributos relacionados con los alias no son suficientes para identificar a la
persona natural a los que se refieren; y
b) la asignación de alias es tal que no puede ser revertida mediante esfuerzos razonables
de las partes interesadas de privacidad, distintos de los que la realizaron.

Los Seudónimos conservan la capacidad de enlace, es decir, se pueden vincular diferentes

datos asociados con el mismo seudónimo. Cuanto mayor sea el conjunto de datos asociados
con un pseudónimo dado, mayor será el riesgo de que la propiedad sea violada. Además,
cuanto menor sea el grupo de personas a las que se refiere un conjunto de datos
seudónimos, mayor será la probabilidad de que se identifique a un titular de PII. Los atributos
contenidos directamente en la información en cuestión y los atributos que se pueden vincular
fácilmente a esta información (por ejemplo, mediante un motor de búsqueda o la referencia
cruzada con otras bases de datos) deben tenerse en cuenta al determinar si la información se
refiere a PII.

4.4.5 Metadatos

Los PII se pueden almacenar en un sistema de tal manera que no sea fácilmente visible para el
usuario de dicho sistema (es decir, para el titular de PII). Los ejemplos incluyen el nombre del
titular de los PII, almacenado como metadatos, en las propiedades de un documento y los
comentarios o los cambios registrados que se almacenan como metadatos en un documento
16 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

de texto. Si el titular tuvo conocimiento de la existencia de datos personales o el

procesamiento de esta información para tal fin, él titular podría preferir que sus datos
personales no sean procesados o sean compartidos públicamente.

4.4.6 Datos Personales no solicitados

Datos Personales que no fueron solicitados por un responsable del tratamiento o procesador
de PII (es decir, sin intención) puede ser almacenada en un sistema de TIC. Un titular podría
ceder esta información (por ejemplo, datos personales adicionales proporcionados en el
contexto de un formulario de comentarios anónimos en un sitio web). El riesgo de recolectar
datos personales no solicitados puede reducirse teniendo en cuenta las medidas de
salvaguarda de la privacidad en el momento de la concepción del sistema (también conocido
como el concepto de "intimidad mediante el diseño").

4.4.7 Datos Personales sensibles

La sensibilidad se extiende a todos los PII de los que se pueden derivar los PII sensibles. Por
ejemplo, las prescripciones médicas pueden revelar información detallada sobre la salud del
titular de PII. Incluso si los PII no contienen información directa sobre la orientación sexual o la
salud del titular, si podría utilizarse para inferir dicha información, estos datos personales
podrían ser sensibles. Para los propósitos de esta norma, los PII debe ser tratados como PII
sensibles cuando tal inferencia y conocimiento de la identidad del titular sea razonablemente
posible.

En algunas jurisdicciones, los datos personales sensibles se definen explícitamente en la

legislación. Los ejemplos incluyen la información que revela la raza, el origen étnico, creencias
religiosas o filosóficas, las opiniones políticas, pertenencia a un sindicato, el estilo de vida u
orientación sexual y la salud física o mental del titular. En otras jurisdicciones, los datos
personales sensibles pueden incluir información que pueda facilitar el robo de identidad o de
otro modo resultar en un daño económico significativo a la persona natural (por ejemplo,
números de tarjetas de crédito, información de cuentas bancarias, o identificadores emitidos
por el gobierno, tales como números de pasaporte, números de seguridad social o números
de licencia de conducir), y la información que podrían utilizarse para determinar la ubicación
en tiempo real del titular.

El procesamiento de datos personales sensibles requiere precauciones especiales. En algunas

jurisdicciones, el procesamiento de datos personales sensibles puede ser prohibido por la ley
aplicable, incluso con el consentimiento del titular. Algunas jurisdicciones pueden requerir la
aplicación de controles específicos, donde ciertos tipos de datos personales sensibles se
procesan (por ejemplo, un requisito para cifrar medical PII cuando lo transmiten a través de
una red pública).

4.5 Requisitos para la protección de la privacidad

Las organizaciones están motivadas a proteger sus PII por una variedad de razones: para
proteger la privacidad de los titulares de los datos personales, para cumplir con los requisitos
normativos y legales, para la práctica de la responsabilidad corporativa, aumentar la confianza
del consumidor, etc. El objetivo de esta cláusula es proporcionar una visión general de los
diferentes factores que pueden influir en la protección de los requisitos de privacidad, que son
relevantes para una determinada organización o interesados del procesamiento de PII.
17 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

Los requisitos para la protección de la privacidad pueden referirse a muchos aspectos

diferentes del procesamiento de Datos personales, por ejemplo, la recolección y retención de
PII, la transferencia de PII a terceros, la relación contractual entre los responsables del
tratamiento y procesadores, la transferencia internacional de PII, etc. Los requisitos para la
protección de la privacidad pueden variar también en su especificidad. Pueden ser de carácter
muy general. No obstante, los requisitos de protección de privacidad también puede implicar
restricciones muy específicas en el tratamiento de ciertos tipos de PII, o exigir la aplicación de
determinados controles de privacidad.

El diseño de cualquier sistema TIC que implique el procesamiento de PII debería estar
precedido por una identificación de los requerimientos de protección de la privacidad. Las
implicaciones de privacidad de los sistemas nuevos o modificados sustancialmente que
involucran el procesamiento de PII deben ser resueltos antes de implementar esos sistemas
TIC.

Habitualmente las organizaciones realizar amplias actividades de gestión de riesgos y elaboran

perfiles de riesgo relacionadas con los sistemas TIC de su empresa.

La gestión del riesgo se define como "actividades coordinadas para dirigir y controlar una
organización respecto al riesgo" (Guía ISO 73:2009). El proceso de administración de riesgos
de privacidad comprende los siguientes procesos:

- establecer el contexto, mediante la comprensión de la organización (por ejemplo,

quien realiza el procesamiento de PII, responsabilidades, etc), el entorno técnico y los
factores que influyen en la gestión de riesgos de privacidad (es decir, factores legales y
regulatorios, factores contractuales, factores comerciales y otros factores);
- evaluación de riesgos, Identificando, analizando y evaluando los riesgos que están
expuesto los titulares de PII (riesgos que puedan verse afectados negativamente);
- el tratamiento de riesgos, mediante la definición de los requisitos de protección de
privacidad, identificación e implementación de controles de privacidad para evitar o
reducir los riesgos para los titulares de PII;
- comunicación y consulta, obteniendo información de las partes interesadas, la
obtención del consenso sobre cada proceso de administración de riesgos, e informar
a los titulares de PII los riesgos y controles; y
- el seguimiento y revisión, mediante el seguimiento de los riesgos y los controles, y
mejorar del proceso.
Uno de los resultados puede ser una evaluación del impacto sobre la privacidad, que es el
componente de la gestión del riesgo que se centra en asegurar el cumplimiento de los
requisitos legales de privacidad y protección de datos, y evaluar las implicaciones de
privacidad de programas o actividades nuevas o sustancialmente modificadas. Las
evaluaciones de impacto sobre la privacidad deben estar enmarcadas dentro del marco más
amplio de gestión de riesgos de una organización.

18 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Figura 1 - Factores que influyen en la gestión de riesgos de privacidad

Los requisitos para la protección de la privacidad son identificados como parte del proceso de
gestión de riesgo para la privacidad, y se encuentra influenciada por los siguientes factores (tal
como se representa en la Figura 1 y se describe a continuación):

- Factores legales y regulatorios para la protección de la privacidad de la persona

natural y la protección de sus datos personales;
- Factores contractuales, como las directrices de la industria, las normas profesionales,
políticas de la empresa;
- factores de negocio predeterminadas por una aplicación de negocio específica o en un
contexto caso de uso específico; y
- Otros factores que pueden afectar el diseño de sistemas de TIC y la salvaguardia de
privacidad asociada requisitos.

4.5.1 Factores legales y regulatorios

Los requisitos para la protección de la privacidad se reflejan a menudo en (1) las leyes
internacionales, nacionales y locales, (2) las normas, (3) las decisiones judiciales o (4) negociado
acuerdos con los comités de la empresa u otras organizaciones laborales. Algunos ejemplos
de la legislación local y nacional, son las leyes de protección de datos, las leyes de protección al
consumidor, incumplimiento las leyes de notificación, las leyes de retención de datos, y las
leyes de empleo.

El derecho internacional pertinente podría contener normas que afectan a la transferencia

transfronteriza de PII. Los responsables del tratamiento deben estar conscientes de todos los
requisitos de protección de privacidad derivada de factores legales o reglamentarios. Para
lograr este objetivo pueden coordinar estrechamente con expertos jurídicos. Mientras que en
muchas jurisdicciones será el responsable del tratamiento de PII, quien es el principal
responsable de garantizar el cumplimiento de todos los actores involucrados en el proceso de
los PII deberían adoptar un enfoque proactivo en identificar las necesidades derivadas de la
protección de privacidad legales u otros factores.

19 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

4.5.2 Factores contractuales

Las obligaciones contractuales también pueden influir en los requisitos de protección de la

privacidad. Estas obligaciones pueden derivarse de acuerdos entre varios actores diferentes,
como procesadores de PII, responsables del tratamiento y terceros. Por ejemplo, una parte
interesada en la privacidad podría requerir que terceros utilicen controles de privacidad
específicos y acepten los requisitos específicos de eliminación de PII antes de que se les
transfiera los PII. Los requisitos de protección de la privacidad también podrían ser el
resultado de las políticas de la empresa y las reglas corporativas vinculantes que la parte
interesada en la privacidad se ha propuesto, por ejemplo, proteger su marca de la publicidad
negativa en caso de violación de la privacidad.

En principio, cualquier Parte que tenga acceso a los PII deben ser conscientes de sus
obligaciones por parte de los respectivos responsable(s) del tratamiento de una manera
formalizada, por ejemplo, concertando acuerdos con terceros. Estos acuerdos suelen
contener una serie de requisitos de protección de privacidad. En algunas jurisdicciones, las
autoridades nacionales y regionales podrían haber establecido los instrumentos jurídicos y
contractuales que permiten la transferencia de PII a terceros.

4.5.3 Factores de protección de privacidad

Los requisitos de protección de la privacidad también pueden estar influidos por factores del
negocio que incluyen las características específicas de una aplicación prevista o su contexto de
uso. Los factores de negocio pueden variar ampliamente dependiendo del tipo de interesado
en la privacidad y el tipo de negocio. Por ejemplo, pueden relacionarse con el sector en el que
una organización está activa (por ejemplo, directrices de la industria, códigos de conducta,
mejores prácticas, normas) o la naturaleza de su modelo de negocio (por ejemplo, servicios en
línea 24 horas al día, 7 días a la semana, Aplicación bancaria).

Muchos factores empresariales no tienen un impacto directo en los requisitos de protección

de la privacidad como tales. El uso previsto de PII puede afectar la implementación de políticas
de privacidad por parte de una organización, así como la elección de controles de privacidad,
pero esto no debería afectar los principios de privacidad a los cuales la organización se
suscribe. Por ejemplo, ofrecer un determinado servicio puede requerir que un proveedor de
servicios recoja PII adicionales o permita que más empleados accedan a ciertos tipos de PII.
Sin embargo, esto no significa que un responsable del tratamiento que haya suscrito los
principios contenidos en este marco no debería evaluar cuidadosamente qué tipos de PII son
estrictamente necesarios para proporcionar el servicio (principio de limitación de recaudación)
y limitar el acceso de sus empleados a los PII en cuestión, para aquellos que necesitan tener
acceso a fin de cumplir sus deberes (principio de la seguridad de la información).

4.5.4 Otros factores

El factor más importante a considerar por las organizaciones al identificar los requisitos de
protección de la privacidad se refiere a las preferencias de privacidad de los titulares de PII. La
disposición de una persona natural hacia la privacidad y qué riesgos considera una persona
natural puede depender de varios factores que incluyen la comprensión de la persona sobre
20 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

la tecnología utilizada, sus antecedentes, la información proporcionada, el propósito de la

transacción, la experiencia pasada de la persona y factores socio-psicológicos.

Los diseñadores de sistemas de TIC deben comprender las preocupaciones de privacidad

probables de un titular de PII y comprender los tipos de PII que serán procesados a través de
su sistema. Del mismo modo que un desarrollador de sistema, una aplicación o servicio realiza
estudios de atención al cliente para capturar sus expectativas de uso, sus deseos y
necesidades, es importante tratar de entender las expectativas y preferencias de las personas
naturales pertinentes respecto a la privacidad. Aunque no siempre es posible para los
diseñadores de sistemas de TIC brindar las opciones a los titulares de PII que coincidan con
sus preferencias de privacidad, es una consideración importante en el diseño.

Ejemplos de las preferencias de privacidad podría incluir una preferencia por el anonimato o
seudónimos, la capacidad para restringir quién puede acceder a determinados PII, o la
posibilidad de restringir el propósito para el cual el PII será procesado. En la medida de lo
posible, el titular de PII debería poseer una selección de preferencias para el tratamiento de
sus datos, por ejemplo si los PII son utilizados para propósitos secundarios tales como la
comercialización. La capacidad de expresar las preferencias de privacidad puede
implementarse a través de la interfaz gráfica de usuario del sistema TIC. Con ello se puede
ayudar al titular de PII en la toma de una decisión mediante la presentación de un conjunto de
opciones predefinidas para preferencias de privacidad comunes utilizando un lenguaje
fácilmente comprensible. La implementación de la interfaz de usuario puede basarse en
elementos como casillas de verificación o menús desplegables.

Además de los factores enumerados en la cláusula anterior, hay otros factores que pueden
influir en el diseño de los sistemas de TIC y los requisitos de protección de privacidad. Por
ejemplo, los requisitos de protección de privacidad podrían ser influenciados por los sistemas
de control interno o normas técnicas que haya adoptado una organización (por ejemplo, un
estándar voluntario, como una norma ISO).

4.6 Políticas de Privacidad

La alta dirección de la organización implicada en el procesamiento de PII deberá establecer

una política de privacidad. La política de privacidad debe:

- ser adecuada para los fines de la organización;

- proporcionar el marco para el establecimiento de objetivos;
- incluir un compromiso para satisfacer los requisitos de protección de privacidad
aplicables;
- incluir un compromiso de mejora continua;
- ser comunicada dentro de la organización; y
- estar a disposición de las partes interesadas, según corresponda.

La organización debe documentar su política de privacidad por escrito. Cuando una

organización es un centro de procesamiento de Datos personales, estas políticas pueden ser
determinadas en gran medida por el responsable del tratamiento de PII. La política de
privacidad debe complementarse con normas y las obligaciones de los diferentes actores
involucrados en la privacidad que participan en el procesamiento de PII más detallados (por
ejemplo, los procedimientos para departamentos o empleados específicos). Además, los
controles que se utilizan para hacer cumplir la política de privacidad en un entorno particular
21 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

(por ejemplo, control de acceso, notificación, auditorías, etc.) deben estar claramente
documentados.

El término "política de privacidad" se utiliza a menudo para referirse a las políticas de

privacidad internas y externas. La política de privacidad interna documenta los objetivos,
normas, obligaciones, restricciones y/o controla una organización para satisfacer los requisitos
de protección de privacidad que sean relevantes para su procesamiento de PII. Una política de
privacidad externa provee, a los usuarios externos, con un aviso de prácticas de privacidad de
la organización, así como otra información pertinente, como la identidad y la dirección oficial
del responsable del tratamiento de PII, los puntos de contacto en los que los titulares de PII
pueden obtener información adicional, etc. En este contexto, el término "política de
privacidad" se utiliza para referirse a la política de privacidad interna de una organización.
Políticas de privacidad externas se denominan avisos.

4.7 Controles de privacidad

Las organizaciones deben identificar e implementar controles de privacidad para cumplir con
la privacidad, salvaguardar los requisitos señalados por la evaluación de riesgo de privacidad y
el proceso de tratamiento. Además, los controles de privacidad identificados y aplicados
deben ser documentados como parte de la evaluación del riesgo de privacidad de la
organización. Ciertos tipos de procesamiento de PII pueden justificar controles específicos
para los cuales la necesidad sólo se hace evidente una vez que la operación ha sido
cuidadosamente analizada. Una evaluación de riesgos de privacidad puede ayudar a las
organizaciones a identificar los riesgos específicos de las infracciones de privacidad
involucrados en una operación prevista.

El esfuerzo debe ser tomado por las organizaciones para desarrollar sus controles de
privacidad como parte del enfoque general denominado "privacidad desde el diseño", es
decir, el cumplimiento de la privacidad debe ser considerado en la fase de diseño de los
sistemas de procesamiento de PII, en lugar de estar realizando modificaciones en una etapa
posterior.

En lo que se refiere a los controles de seguridad de la información, es importante tener en

cuenta que no todo el procesamiento de PII requiere el mismo nivel o tipo de protección. Las
organizaciones deben distinguir entre las operaciones de procesamiento de PII de acuerdo a
los riesgos específicos que presentan para determinar qué controles de seguridad de
información son apropiadas en cada caso. La gestión de riesgos es un método fundamental en
este proceso, y la identificación de los controles de privacidad debe ser una parte integral del
marco de gestión de seguridad de la información de una organización.

22 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

5. Los principios de privacidad del ISO/IEC 29100

5.1 Visión general de los principios de privacidad

Los principios de privacidad descritos en esta norma se derivan de los principios existentes
desarrollados por una serie de estados, países y organizaciones internacionales. Este marco se
centra en la aplicación de los principios de privacidad en los sistemas de TIC y el desarrollo de
sistemas de gestión de la privacidad a implementarse dentro de los sistemas de TIC de la
organización. Estos principios de privacidad deben ser utilizados como una guía para el
diseño, desarrollo e implementación de políticas y controles de privacidad. Además, pueden
utilizarse como un punto de referencia en el seguimiento y la medición del desempeño,
evaluación y auditoría de aspectos de la gestión de privacidad en una organización.

A pesar de las diferencias en los factores sociales, culturales, legales y económicos que
pueden limitar la aplicación de estos principios en algunos contextos, se recomienda la
aplicación de todos los principios definidos en esta norma internacional. Las excepciones a
estos principios deben ser limitadas.

Los siguientes principios de privacidad constituyen la base de esta norma internacional.

Tabla 3 - Los principios de privacidad del ISO/IEC 29100

1. Consentimiento y elección
2. La legitimidad del propósito y especificación
3. Límites a la recolección
4. Minimización de datos
5. Límites al uso, retención y divulgación
6. Exactitud y calidad
7. Apertura, transparencia y notificación
8. Participación y acceso individual
9. Responsabilidades
10. Seguridad de la Información
11. Cumplimiento de la Privacidad

5.2 Consentimiento y elección

El cumplimiento al principio de consentimiento significa:

- Presentar al titular de PII la posibilidad de elegir si permite o no el procesamiento de

sus datos personales, excepto cuando el titular no puede retener el consentimiento
de manera libre o cuando la legislación aplicable permita, específicamente, el
procesamiento PII sin el consentimiento de la persona natural. El consentimiento del
titular de PII debe ser libre, específica y bien informado;
- La obtención del consentimiento opt-in del titular de PII para recopilar o procesar de
alguna otra forma los PII sensibles, excepto donde la ley aplicable permite el
procesamiento de PII sensibles sin el consentimiento de la persona natural;
- Informar a los titulares de PII, antes de obtener su consentimiento, acerca de sus
derechos en virtud, la participación individual y el principio de acceso;

23 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

- Proporcionar al titular de PII, antes de obtener su consentimiento, con la información

indicada por el consentimiento, la apertura, la transparencia y el principio de
notificación; y
- Explicar a los titulares de PII las implicancias de conceder o retirar su consentimiento.

Deben tomarse disposiciones oportunas para proporcionar a los titulares de PII de elegir
cómo se maneja sus PII y permitir al titular retirar su consentimiento de forma fácil y gratuita.
Esta solicitud debe ser tratada en conformidad con la política de privacidad. Incluso si el
consentimiento es retirado, el responsable del tratamiento de PII podría necesitar retener
ciertos PII durante un periodo de tiempo, con el fin de cumplir con las obligaciones legales o
contractuales (por ejemplo, la retención de datos, rendición de cuentas, etc.). Donde el PII la
transformación no se basa en el consentimiento sino en otro fundamento jurídico, el PII
principal debería ser notificado cuando sea posible. Cuando el titular de PII tiene la capacidad
de retirar su consentimiento y se ha optado por hacerlo, esta información debe quedar exenta
de procesamiento para cualquier finalidad que no sea legalmente obligatoria.

Para un responsable del tratamiento de PII, cumplir con el principio de elección significa:
- Proporcionar a los titulares de PII con mecanismos claros, prominentes, fácilmente
comprensible, accesible y asequible para ejercer mecanismos de elección y dar el
consentimiento en relación con el procesamiento de sus PII en el momento de la
recolección, la primera utilización o tan pronto como sea posible después de éste; y
- la aplicación de las preferencias del titular de PII como se expresa en su
consentimiento.

Por otra parte, las disposiciones adicionales pueden ser definidas para el procesamiento de PII
distinto al consentimiento (por ejemplo, la ejecución de un contrato, el interés vital del
principal PII, o el cumplimiento de la ley).
La ley aplicable en algunos casos se establece que el consentimiento del titular de PII no
constituye una base jurídica suficiente para procesar sus datos personales (por ejemplo, el
consentimiento de un menor dado sin la aprobación del o tutor la aprobación). Por otra parte,
los requisitos adicionales sobre la transferencia de datos personales internacionalmente,
deben ser considerados.
Es la responsabilidad del responsable del tratamiento de PII cumplir con estas disposiciones
adicionales antes de procesar o transferir datos.

5.3 La legitimidad del propósito y especificación

El cumplimiento al principio de legitimidad del propósito y especificación significa:

- Garantizar que el/los propósito(s) cumple con la ley aplicable y se apoya en una base
legal admisible;
- Comunicar el/los propósito(s) al titular de PII antes que la información sea recopilada o
utilizada por primera vez, o para un nuevo propósito;
- Usando el lenguaje de esta especificación, que es a la vez clara y adecuadamente
adaptada a las circunstancias; y
- En su caso, dar explicaciones suficientes para la necesidad de procesar datos
personales sensibles.

Con relación a los datos personales sensibles, se pueden aplicar normas más restrictivas a la
finalidad del tratamiento. Un objetivo puede requerir una base legal o una autorización
24 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

específica por una autoridad de protección de datos o una autoridad gubernamental. Si el/los
propósito(s) para el procesamiento de PII no se ajusta a la ley aplicable, el procesamiento no
debería tener lugar.

5.4 Límites a la recolección

El cumplimiento al principio de limitación a la recolección significa:

- Limitar la recopilación de datos personales, estando dentro de los límites de la legislación

aplicable y estrictamente necesarios para la finalidad especificada.

Las organizaciones no deberían recopilar datos personales de manera indiscriminada. Tanto la

cantidad y el tipo de PII recopilada debe limitarse a lo que es necesario para cumplir con el
propósito especificado por el responsable del tratamiento de PII. Las organizaciones deben
considerar cuidadosamente los PII que se necesitará para realizar un propósito particular
antes de proceder su recolección. Las organizaciones deben documentar el tipo de PII
recopilados, así como su justificación para hacerlo como parte de sus políticas y prácticas de
manejo de información.

Un responsable del tratamiento de PII podría desear recoger PII adicional para fines distintos a
la prestación de un servicio particular solicitada por el titular (por ejemplo, para fines de
marketing directo). Dependiendo de la jurisdicción, dicha información adicional sólo puede ser
recogida con el consentimiento del titular de PII. También es posible que la recolección de
cierta información sea obligatoria por ley aplicable.
Siempre que sea posible, el titular de datos personales debe tener la capacidad de elegir si
desea o no proporcionar dicha información. El titular debe estar claramente informado del
hecho de que su respuesta a estas solicitudes de información adicional puede ser opcional.

5.5 Minimización de los datos

La Minimización de los datos está estrechamente vinculada con el principio de "limitación a la

recolección", pero va más lejos que eso.

Mientras que la "limitación a la recolección " se refiere a los límites de datos que se recogen en
relación con los fines especificados, "minimización de los datos" estrictamente minimiza el
procesamiento de los datos personales.

Cumplir con el principio de minimización de datos significa diseñar e implementar

procedimientos de tratamiento de datos y sistemas de TIC de una manera tal que:

- Minimizar los PII que se procesan y el número de grupos de interés de privacidad y

personas a las que se da a conocer datos personales o que tienen acceso a ella;
- Garantizar la adopción de un principio de la "necesidad de conocer" el acceso, es decir,
uno debe dar sólo los datos personales que son necesarios para la realización de su/sus
funciones oficiales en el marco de la finalidad legítima y del procesamiento de PII;
- El uso o la oferta como opciones por defecto, siempre que sea posible, las interacciones y
transacciones que no impliquen la identificación de los titulares, esto reducen la
observabilidad de su comportamiento y limitan la vinculabilidad de los PII recopilados; y

25 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

- Eliminar y disponer de PII siempre que el propósito para el procesamiento de datos

personales haya expirado, no hay requisitos legales para mantener los datos personales.

5.6 Límites al uso, retención y divulgación

Cumplir con el principio de limitación al uso, retención y divulgación, significa:

- Limitar el uso, la conservación y la divulgación (incluida la transferencia) de los PII a lo

necesario para el cumplimiento de las finalidades determinadas, explícitas y legítimas;
- Limitar el uso de datos personales a los fines especificados por el responsable del
tratamiento de PII antes de la recolección, a menos que un propósito diferente se
requerido explícitamente por la legislación aplicable;
- Retener datos personales sólo en la medida necesaria para cumplir con las finalidades
indicadas, y posteriormente destruir de forma segura o anonimizarla; y
- Bloquear (es decir, archivando, asegurando y eximiendo el procesamiento adicional de los
PII) cualquier PII cuándo y durante el tiempo que los propósitos establecidos se cumplan,
salvo que la retención sea requerida por las leyes aplicables.

Cuando se transfiere datos personales a nivel internacional, el responsable del tratamiento de

PII debe ser consciente de los requisitos nacionales o locales adicionales específicos de
transferencias transfronterizas.

5.7 Exactitud y calidad

Cumplir con el principio de exactitud y calidad, significa:

- Garantizar que los PII procesados son precisos, completos, actualizados (a menos que
haya una base legítima para mantener los datos obsoletos), adecuados y pertinentes a los
efectos de su uso;
- Garantizar la fiabilidad de los datos personales recopilados a partir de una fuente distinta
del titular, antes de ser procesado;
- Verificación, a través de los medios adecuados, la validez y exactitud de las afirmaciones
hechas por el titular de PII antes de hacer cualquier cambio en los datos personales (con
el fin de garantizar que los cambios sean debidamente autorizados), donde sea apropiado
hacerlo;
- El establecimiento de procedimientos de recopilación de PII para ayudar a asegurar la
exactitud y calidad; y
- El establecimiento de mecanismos de control para verificar periódicamente la exactitud y
calidad de los PII recogidos y almacenados.

Este principio es particularmente importante en los casos en que los datos podrían ser
utilizados para conceder o denegar un beneficio significativo para el titular, o en el que los
datos inexactos de podrían resultar en un daño significativo a la persona natural.

26 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

5.8 Apertura, transparencia y notificación

Cumplir con el principio de apertura, la transparencia y la notificación, significa:

- Proporcionar a los titulares de PII información clara y fácilmente accesible sobre las
políticas, procedimientos y prácticas del responsable del tratamiento de PII, respecto al
tratamiento de sus datos personales;
- Incluir en los avisos (Políticas externas) el hecho de que los PII se están procesando, el
propósito para el cual se hace esto, las partes interesadas de privacidad para los cuales se
pueden comunicar los PII, y la identidad del responsable de PII incluyendo información
sobre cómo ponerse en contacto con el responsable del tratamiento de PII;
- Divulgar las opciones y medios que ofrece el responsable del tratamiento de los PII a los
titulares para los efectos de limitar el procesamiento, para acceder, corregir y eliminar sus
datos personales; y
- Notificar los titulares de PII cuando se produzcan cambios importantes en los
procedimientos de manipulación de los datos personales.

La transparencia, incluyendo información general sobre la lógica que subyace al

procesamiento de datos personales puede ser necesaria, en particular, si el tratamiento
implica una decisión que afecta al titular de PII. Las partes interesadas de privacidad que
procesan PII deben hacer que la información específica sobre sus políticas y prácticas relativas
a la gestión de PII sean fácilmente disponibles para el público. Todas las obligaciones
contractuales que el procesamiento de datos personales debe ser documentado y
comunicado internamente según sea el caso. También deben ser comunicados externamente
en la medida en que dichas obligaciones no sean confidenciales.
Además, la finalidad del tratamiento de PII debe ser suficientemente detallada para permitir
que el titular de PII para comprenda:

- Los Datos personales necesarios para los fines especificados;

- El fin indicado para la recolección de los datos personales;
- El proceso previsto (incluyendo la recolección, la comunicación y mecanismos de
almacenamiento);
- Los tipos de personas naturales autorizadas que tendrán acceso a los PII y a los que
pueden ser transferido; y
- Los datos personales retenidos y los requisitos para su eliminación.

5.9 Participación y acceso individual

Cumplir con el principio de participación y acceso individuo significa:

- Dar a los titulares de PII la capacidad de acceder y revisar sus datos personales, siempre
que su identidad sea validado con un nivel adecuado de seguridad y tal acceso no esté
prohibido por alguna ley aplicable;
- Permitir que los titulares de PII cuestionar la exactitud e integridad de sus datos
personales y permitir su modificación, corrección o eliminación según proceda y sea
posible en el contexto específico;
- Proporcionar cualquier modificación, corrección o eliminación de los procesadores PII y los
terceros a quienes los PII hayan sido divulgados y
- El establecimiento de procedimientos para habilitar a los titulares ejercer estos derechos
de manera sencilla, rápida y eficiente, que no implique demora o gastos excesivos.
27 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

El responsable del tratamiento de PII debe aplicar controles adecuados para garantizar que los
titulares de PII solo tengan acceso estrictamente a sus propios datos y no los datos de otros
titulares, a menos que la persona natural que accede esté actuando bajo la autoridad o en
nombre de un titular de PII que sea incapaz de ejercer su derecho de acceso. La ley aplicable
puede proporcionar a la persona natural derecho a acceder, revisar y oponerse al tratamiento
de sus datos personales bajo ciertas circunstancias. Cuando un problema no se resuelve a
favor de una persona natural, la circunstancia del problema sin resolver debe ser registrada
por la organización. Cuando sea el caso, la existencia del problema sin resolver debe
transmitirse a los procesadores de PII y otros terceros que tengan acceso a la información en
cuestión.

5.10 Responsabilidades

El procesamiento de datos personales conlleva un deber de cuidado, la adopción de medidas

concretas y prácticas para su protección. Cumplir con el principio de responsabilidad significa:

- Documentar y comunicar, según sea el caso, todas las políticas, procedimientos y prácticas
relacionadas con la privacidad;
- Asignar a un determinado individuo dentro de la organización (que a su vez puede delegar
en otros miembros de la organización, según sea el caso) la tarea de aplicar las políticas,
los procedimientos y practicas relacionados con la privacidad;
- Cuando se transfiera datos personales a terceros, garantizar que el receptor estará
vinculado en proporcionar un nivel equivalente de protección de la privacidad a través de
medios contractuales o de otro tipo, tales como las políticas internas obligatorias (ley
aplicable puede contener requisitos adicionales respecto a las transferencias
internacionales de datos);
- Proporcionar una formación adecuada para el personal de la empresa que tendrán acceso
a los datos personales;
- El establecimiento de procedimientos de manipulación y de quejas eficientes para ser
usados por los titulares de PII;
- Informar a los titulares sobre violaciones a la privacidad que pueden conducir a un daño
sustancial a ellos (a menos que esté prohibido, por ejemplo, mientras se trabaja con la
policía), así como las medidas adoptadas para su resolución;
- Notificar a todas las partes interesadas de privacidad relevantes sobre violaciones a la
privacidad, como se requiere en algunas jurisdicciones (Por ejemplo, las autoridades de
protección de datos) y en función del nivel de riesgo;
- Permitiendo a un titular agraviado el acceso a las sanciones adecuadas y eficaces y/o
recursos, tales como rectificación, cancelación o restitución, si se ha producido una
violación de la privacidad; y
- Considerar procedimientos de indemnización por situaciones donde será difícil o
imposible restaurar el estado de privacidad de la persona natural o a una posición como si
nada hubiera ocurrido.

Las medidas para remediar una violación de la privacidad deben ser proporcionales a los
riesgos asociados con el incumplimiento, estos deben aplicarse tan pronto como sea posible
(a menos que esté prohibido, por ejemplo, la interferencia con una investigación legal).

El establecimiento de procedimientos de reparación forma parte importante de la rendición

de cuentas. La reparación proporciona un medio al titular de datos personales para exigir
cuentas al responsable del tratamiento de PII por el mal uso realizado. La indemnización es
28 © ISO / IEC 2011 - Todos los derechos reservados
ISO/IEC 29100:2011(E)

una forma de reparación que implica proporcionar una compensación a los agraviados
(titulares de PII). Esto es importante no sólo en la situación de robo de identidad, daños a la
reputación o el mal uso de datos personales, sino también donde se han cometido errores en
la modificación o de los datos personales.

Cuando los procesos de reparación están definidos, los titulares de PII podrían sentirse más
seguros de una operación, esto debido a que el riesgo percibido por la persona natural en
relación con el resultado se reduce de manera efectiva. Algunos servicios de reparación son
más fáciles de (por ejemplo, pérdida financiera) que otros (por ejemplo, una identidad robada,
el daño a la imagen o la reputación de la persona natural), donde la capacidad de cuantificar y
compensar la pérdida podría ser algo más difícil. La reparación funciona mejor cuando se basa
en la transparencia y la honestidad. Los tipos reparación requerido pueden regirse por la ley.

5.11 Seguridad de la Información

Cumplir con el principio de seguridad de información, significa:

- La protección de datos personales bajo su autoridad con controles apropiados en el plano

operacional, funcional y estratégico, garantizando la integridad, confidencialidad y
disponibilidad de los datos personales, y su protección contra riesgos tales como el acceso
no autorizado, destrucción, uso, modificación, divulgación o pérdida durante la totalidad
de su ciclo de vida;
- La elección de procesadores de PII que proporcionen las garantías suficientes respecto a
los controles de organizacionales, físicos y técnicos para el procesamiento de datos
personales y garantizar el cumplimiento de estos controles;
- Basar estos controles sobre los requisitos legales aplicables, normas de seguridad, los
resultados de las evaluaciones sistemáticas de riesgos de seguridad, tal como se describe
en la norma ISO 31000, y los resultados de un análisis de coste/beneficio;
- La implementación de controles en proporción a la probabilidad y el impacto de sus
consecuencias potenciales, la sensibilidad de los datos personales, el número de titulares
de PII que podrían verse afectados, y el contexto en el que se lleva a cabo;
- Limitar el acceso a los datos personales a solo las personas que requieran dicho acceso
para desempeñar sus funciones;
- la resolución de los riesgos y las vulnerabilidades que se descubran a través de las
evaluaciones de riesgos de privacidad y los procesos de auditoría; y
- Someterse a los controles de revisión y evaluación periódica del proceso de gestión de
riesgos de seguridad.

5.12 Cumplimiento de la Privacidad

La adhesión del principio de cumplimiento, significa:

- Verificar y demostrar que la organización cumple con la protección de datos y privacidad,

salvaguardando los requisitos mediante la ejecución de auditorías periódicamente
planificadas, utilizando para ello los auditores internos o auditores externos de confianza;
- Disponer de controles internos apropiados y mecanismos de supervisión independientes
que aseguren el cumplimiento de la ley de privacidad relevante y sus políticas y
procedimientos de seguridad relacionados a la protección de datos y privacidad; y

29 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

- Desarrollar y mantener evaluaciones de riesgos de privacidad, con el fin de evaluar si los

programas de entrega de servicios que involucran el procesamiento de datos personales
cumplen con los requisitos de protección de datos y privacidad establecidos.

La ley aplicable puede disponer que una o más autoridades de supervisión sean responsables
de vigilar el cumplimiento de la ley de protección de datos. En esos casos, la adhesión al
principio de cumplimiento de privacidad también significa cooperar con estas autoridades de
supervisión, implementando sus directrices y peticiones.

30 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Anexo A

(Informativo)

Correspondencia entre la norma ISO/IEC 29100 conceptos y el ISO/IEC 27000

conceptos

A fin de hacer más fácil el uso de la familia de normas ISO/IEC 27000 en el contexto específico
de la privacidad y para la integración de los conceptos de privacidad en el 27000, se presenta
en la siguiente tabla las relaciones entre sus principales conceptos:

Tabla A.1 - Coincidencia de la norma ISO/IEC 29100 conceptos con la norma ISO/IEC 27000 conceptos

ISO / IEC 29100 conceptos La correspondencia con ISO / IEC 27000 conceptos
Grupos de interés de Privacidad Grupos de interés
PII Activo de información
violación de la privacidad Incidente de seguridad de la información
Control de privacidad Control
riesgo para la privacidad Riesgo
la gestión de riesgos de privacidad Gestión de riesgos
requisitos de salvaguardia de privacidad Los objetivos de control

31 © ISO / IEC 2011 - Todos los derechos reservados

ISO/IEC 29100:2011(E)

Bibliografía

[1] ISO Guide 73, Risk management Vocabulary

[2] ISO 31000, Risk management Principles and guidelines
[3] ISO/IEC JTC 1/SC 27 WG 5 Standing Document 2 (WG 5 SD2) Official Privacy Documents
References, available at http://www.jtc1sc27.din.de

32 © ISO / IEC 2011 - Todos los derechos reservados