¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar qué controles de ISO 27701:2025 aplican a tu empresa, cuáles no aplican y cuál es la justificación de esa decisión.
La Declaración de Aplicabilidad, también conocida como SoA (Statement of Applicability por sus siglas en inglés), funciona como una guía central para demostrar cómo tu organización decidió qué controles implementar según su contexto, sus riesgos, sus operaciones y el rol que cumple en el tratamiento de datos personales.
Este documento es importante porque permite mostrar, frente a auditorías internas o externas, que la selección de controles no fue realizada de forma automática, sino considerando el análisis de riesgos, las obligaciones legales, los procesos reales y las responsabilidades de la organización como Responsable, Encargado o ambos.
¿Qué tengo que hacer? 🚀
💡Este documento debe estar alineado a las operaciones reales de tu empresa y a los riesgos previamente identificados. El template editable contiene la estructura base para documentar la aplicabilidad de los controles, pero debes completarlo considerando tu rol en el tratamiento de datos personales, tus procesos internos, tus proveedores, tus transferencias de información, tus obligaciones legales y el estado real de implementación de cada control.
Al trabajar en este documento, te recomendamos primero leerlo y revisarlo en su totalidad para así comprender la información que deberás documentar posteriormente. Y para completarlo de forma adecuada, te recomendamos considerar lo siguiente:
Completa la portada y el versionado.
Antes de trabajar sobre los controles, completa los datos generales del documento, como código, responsable de elaboración, responsable de aprobación, fecha de aprobación y clasificación de la información. Aunque esto también podrías completarlo al finalizar el documento, pero es de suma importante que sí se cuente con esta información.
Esto permite demostrar que la Declaración de Aplicabilidad fue formalizada, revisada y aprobada dentro de la organización.
También ayuda a identificar cuál es la versión vigente del documento durante auditorías o revisiones internas.
Todos los puntos anteriores aportan al cumplimiento normativo, ya que permite tener una trazabilidad adecuada y un control de los cambios realizados al documento.
Revisa el rol aplicable de cada control.
El template distingue controles aplicables a Responsable, Encargado o ambos roles.
Antes de marcar si un control aplica o no, revisa si tu empresa decide los fines y medios del tratamiento, si procesa datos siguiendo instrucciones de un cliente, o si cumple ambos roles en distintos procesos.
Esta revisión debe estar alineada con tu Inventario de Datos Personales, contratos con clientes, acuerdos con proveedores y metodología de gestión de datos personales.
⚖️ Recomendación legal: Identificar correctamente el rol es clave. No es lo mismo decidir para qué se tratan los datos personales que tratarlos siguiendo instrucciones de un tercero. Si el rol queda mal definido, también pueden quedar mal asignadas las obligaciones, evidencias y responsabilidades frente a titulares, clientes, proveedores o autoridades.
Define si el control aplica o no aplica.
Para cada control, selecciona la opción correspondiente en la columna de aplicabilidad.
Esta decisión debe basarse en el contexto de tu empresa, los riesgos identificados, las obligaciones legales y contractuales aplicables, y las características reales de tu operación.
Evita marcar controles como "No aplica" únicamente porque todavía no están implementados. Si un control corresponde por tu operación o riesgo, debería marcarse como aplicable, aunque su estado sea pendiente o en proceso.
⚖️ Recomendación legal: Un control que todavía no está implementado no necesariamente deja de aplicar. Si el control es necesario por la actividad que realiza tu empresa, por el tipo de datos que trata o por sus obligaciones legales, lo correcto es reflejar su estado real y definir acciones para implementarlo.
Justifica la inclusión o exclusión de cada control.
Cuando un control aplique, explica brevemente por qué es necesario para tu empresa.
Cuando un control no aplique, documenta una razón clara, verificable y coherente con tu operación.
Las justificaciones deben poder explicarse ante un auditor y, en lo posible, respaldarse con evidencia documental, técnica, contractual u operativa.
⚖️ Recomendación legal: Ten especial cuidado al excluir controles vinculados a base legal, consentimiento, derechos de titulares, decisiones automatizadas, proveedores, subcontratistas, transferencias internacionales o divulgación de datos personales. Antes de excluirlos, verifica que realmente no existan actividades, herramientas, contratos o flujos de datos que los hagan aplicables.
Define la frecuencia de revisión.
La frecuencia de revisión debe indicar cada cuánto evaluarás si la aplicabilidad del control sigue siendo correcta y si su implementación continúa siendo efectiva.
Esta frecuencia debe ser realista y proporcional al nivel de riesgo, criticidad del control y capacidad operativa de la empresa.
No necesariamente todos los controles requieren la misma periodicidad. Algunos pueden requerir revisiones más frecuentes por su criticidad, cambios tecnológicos, exposición a terceros o impacto sobre titulares.
Actualiza el estado del control.
El estado del control debe reflejar su situación real: pendiente, en proceso o implementado.
Si un control está pendiente o en proceso, asegúrate de contar con una explicación clara y, cuando corresponda, con un plan de acción asociado.
Esta información debe mantenerse actualizada, especialmente antes de auditorías, revisiones internas o avances del plan de tratamiento de riesgos.
Alinea el SoA con otros documentos del sistema.
La Declaración de Aplicabilidad no debe completarse de forma aislada.
Debe estar conectada con el análisis de riesgos, la evaluación de impacto a la privacidad, el Inventario de Datos Personales, la metodología de gestión de datos personales, los procedimientos internos, los contratos y las evidencias cargadas en la plataforma.
Si existe una diferencia entre lo que dice el SoA y lo que muestran los documentos o evidencias, es recomendable corregirla antes de cualquier auditoría.
Nuestro template está estructurado con lineamientos, controles y columnas de apoyo para ayudarte a completar la Declaración de Aplicabilidad de forma más fácil y ordenada, pero recuerda que debes ajustarlo al contexto de tu empresa.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Evita completar el SoA solo como una lista de controles. Utilízalo como una herramienta de trazabilidad entre riesgos, controles y evidencias.
Revisa que las exclusiones sean razonables y estén bien fundamentadas.
Antes de una auditoría, verifica que los controles marcados como implementados tengan evidencia suficiente y actualizada.
Mantén consistencia entre el SoA y los documentos cargados en la plataforma. Si un control figura como implementado, debería existir evidencia que lo respalde.
Involucra a las áreas dueñas de los controles antes de cerrar el documento, especialmente Legal, Privacidad, Seguridad de la Información, Tecnología, Recursos Humanos, Compras y Operaciones.
Actualiza el SoA cuando cambien tus procesos, proveedores, tecnologías, infraestructura, transferencias de datos, bases legales, riesgos o alcance del sistema de gestión.
Conserva las versiones anteriores del SoA cuando existan cambios relevantes, para demostrar evolución del sistema y trazabilidad de decisiones.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! También puedes contactarnos por correo electrónico o a través de la plataforma, y te brindaremos la atención que necesites.