Anexos del estándar ISO/IEC 27701

El estándar ISO/IEC 27701 cuenta 6 anexos, dos de ellos normativos (Anexos A y  B) y cuatro informativos (Anexos C, D, E y F).

El Anexo A presenta una tabla con 4 objetivos de control y 31 controles para los responsables del tratamiento de datos personales, que incluyen:

• Condiciones para la recolección y el tratamiento de datos personales.
• Obligaciones con los interesados (titulares).
• Privacidad por diseño y privacidad por defecto.
• Intercambio de datos personales, transferencia y divulgación.

El Anexo B presenta una tabla con 4 objetivos de control y 18 controles para los encargados del tratamiento, que incluyen:

• Condiciones para la recolección y el tratamiento de datos personales.
• Obligaciones con los interesados (titulares).
• Privacidad por diseño y privacidad por defecto.
• Intercambio de datos personales, transferencia y divulgación.

El Anexo C presenta una tabla que incluye el mapeo entre ISO/IEC 27701 y el estándar ISO/IEC 29100 Privacy Framework.

El Anexo D presenta una tabla que mapea los artículos del Reglamento General de Protección de Datos y el estándar ISO/IEC 27701.

En este mapeo se consideran los principios, la obligación de transparencia e información, el ejercicio de los derechos, la notificación a la autoridad de control, la designación del oficial de protección de datos, la evaluación de impacto, la responsabilidad proactiva, las medidas de seguridad y las transferencias de datos personales.

El Anexo E incluye una tabla que mapea los estándares ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, ISO/IEC 29151 Code of practice for personally identifiable information protection y el ISO/IEC 27701.

El Anexo F: se indican las cláusulas y actuaciones que se deben considerar para integrar la gestión de la privacidad dentro de una certificación o norma ISO/IEC 27001 Information security management systems — Requirements.