policy ISO 27701 PIMS Policy Pack

Política de Gestión del Consentimiento y Preferencias

Política de consentimiento ISO 27701 para la captura lícita del consentimiento, cambios de preferencias, gestión de retiradas, registros de evidencias y gobernanza del PIMS preparada para auditorías.

Descripción general

Esta política rige la gestión lícita del consentimiento y de preferencias en contextos de responsable del tratamiento, encargado del tratamiento, corresponsable del tratamiento y subencargado del tratamiento. Define cómo se solicita el consentimiento, se registra en REG05, se vincula con REG02 y REG07, se retira, se actualiza, se protege, se mide, se audita y se corrige.

Evidencias de consentimiento auditables

Define REG05 como el registro fehaciente del estado del consentimiento, la redacción, la versión del aviso, las marcas temporales, los métodos y el historial.

Gestión controlada de retiradas

Exige que las retiradas y los cambios de preferencias se registren y se ejecuten dentro de los plazos operativos o de instrucción del cliente definidos.

Alineación con la base jurídica

Garantiza que el consentimiento se utilice solo cuando proceda y esté vinculado a las finalidades del tratamiento de REG02 y a las versiones del aviso de privacidad de REG07.

Leer descripción completa (click to expand)
La Política de Gestión del Consentimiento y Preferencias define requisitos obligatorios para determinar cuándo se requiere el consentimiento, solicitarlo, capturar evidencias de consentimiento, gestionar preferencias, tramitar retiradas, mantener registros de consentimiento y revisar mecanismos de consentimiento. Se aplica al tratamiento de datos personales cuando el consentimiento se selecciona o se exige como base jurídica, cuando se requiere consentimiento explícito, cuando se capturan preferencias de consentimiento o cuando la organización gestiona registros de consentimiento en nombre de un responsable del tratamiento. La política cubre contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, y deja claro que las obligaciones del encargado del tratamiento y del subencargado del tratamiento solo se aplican cuando los registros de consentimiento, los estados de preferencias o las instrucciones de retirada se gestionan conforme a instrucciones documentadas del responsable del tratamiento o del cliente. Un principio central de la política es que el consentimiento no es la base jurídica por defecto para el tratamiento de datos personales. Antes de que una actividad de tratamiento nueva o modificada sustancialmente se base en el consentimiento, el Propietario del Proceso o el propietario de la empresa debe registrar en REG02 si el consentimiento es requerido o seleccionado, y el Responsable de Privacidad o el Responsable del PIMS debe verificar en REG02 y REG05 que el consentimiento no se ha seleccionado por defecto. Cuando el tratamiento implique categorías especiales de datos personales, servicios dirigidos a menores, tratamiento de alto riesgo o un desequilibrio entre la organización y el interesado, el Delegado de Protección de Datos (DPO) o el Asesor de Privacidad debe revisar la base del consentimiento en REG04 antes del lanzamiento. Para las actividades de corresponsable del tratamiento, la responsabilidad de obtener, registrar, actualizar y respetar el consentimiento debe documentarse antes de que comience el tratamiento. La política establece requisitos operativos detallados para la solicitud y captura del consentimiento. Las solicitudes de consentimiento deben ser específicas para cada finalidad y estar vinculadas a la versión aplicable del aviso de privacidad de REG07 antes de su presentación al interesado. Los sistemas deben exigir una acción afirmativa cuando se requiera consentimiento explícito o aceptación expresa y deben impedir que prosiga el tratamiento basado en el consentimiento salvo que REG05 muestre un estado del consentimiento activo para la finalidad pertinente. REG05 debe capturar la referencia del interesado, la finalidad, la categoría de datos personales, la redacción o versión del consentimiento, la versión del aviso de privacidad, el canal de captura, la marca temporal, el método, el estado y el período de validez aplicable. Cuando se aplique el consentimiento dirigido a menores o el consentimiento explícito, se activan requisitos adicionales de lógica, marcado y revisión. La gestión de preferencias y retiradas también se rige a través de REG05 y, cuando proceda, de REG08. Debe estar disponible un mecanismo de retirada o cambio de preferencias a más tardar en el momento en que se solicite el consentimiento. Las retiradas y los cambios de preferencias deben registrarse en un plazo de cinco días hábiles desde su recepción o dentro de un plazo más breve definido para la actividad de tratamiento. Los sistemas afectados, los estados de exclusión o los indicadores de preferencias deben actualizarse antes de que continúe cualquier tratamiento posterior para una finalidad retirada o restringida. Los encargados del tratamiento deben remitir o aplicar las instrucciones del cliente dentro del plazo definido por el cliente, y los subencargados del tratamiento deben verificarse mediante REG08 frente a los plazos contractuales o instruidos. La política también aborda el control de cambios, la protección de registros, la gobernanza, la implementación, las métricas, las excepciones, la aplicación y el mantenimiento. El consentimiento debe reevaluarse antes de que continúe el tratamiento cuando cambien sustancialmente la finalidad, las categorías de datos personales, la identidad del responsable del tratamiento, la redacción del aviso, la conservación, la categoría de destinatarios o el método de tratamiento. La redacción del consentimiento, la configuración del mecanismo, las referencias del aviso y los esquemas de registros de consentimiento deben estar sujetos a control de versiones. Los registros de REG05 deben protegerse frente a alteraciones no autorizadas y deben mantenerse evidencias de la pista de auditoría. Las métricas incluyen comprobaciones trimestrales de vinculación entre REG05, REG02 y REG07; medición mensual de la finalización de retiradas cuando el tratamiento basado en el consentimiento está activo; e informes de auditoría en REG12. Las excepciones deben aprobarse antes de la implementación, y las no conformidades que impliquen evidencias de consentimiento ausentes, inválidas, no vinculadas o no fiables deben registrarse en un plazo de cinco días hábiles.

Diagrama de la Política

Diagrama de flujo del proceso que muestra la revisión de aplicabilidad del consentimiento, la confirmación de la base jurídica, la vinculación del aviso, la captura del consentimiento en REG05, las actualizaciones de preferencias o retiradas, la protección de evidencias, las métricas, la revisión de auditoría, las excepciones y las acciones correctivas.

Haga clic en el diagrama para verlo en tamaño completo

Contenido

Aplicabilidad del consentimiento y base jurídica

Solicitud y captura del consentimiento

Gestión de preferencias y retiradas

Cambios, actualización y control de versiones del consentimiento

Registros, prueba y protección

Métricas, excepciones y aplicación

Cumplimiento de marcos

🛡️ Estándares y marcos compatibles

Este producto está alineado con los siguientes marcos de cumplimiento, con mapeos detallados de cláusulas y controles.

Marco Cláusulas / Controles cubiertos
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Políticas relacionadas

Política de Inventario de Tratamientos y Base Jurídica

Las decisiones sobre consentimiento dependen de los registros de base jurídica de REG02 y de la vinculación del inventario de tratamientos a nivel de finalidad.

Política de Aviso de Privacidad y Transparencia

Las solicitudes de consentimiento deben estar vinculadas a la versión aplicable del aviso de privacidad de REG07 antes de su presentación.

Política de Gestión de Derechos de los Interesados

La gestión de retiradas y cambios de preferencias respalda la gestión más amplia de los derechos de los interesados.

Política de Evaluación de Riesgos de Privacidad y EIPD

La revisión de REG04 es necesaria para activadores de alto riesgo, como datos personales de categoría especial, servicios dirigidos a menores o desequilibrio.

Política de Gestión de Privacidad de Encargados del Tratamiento, Subencargados del Tratamiento y Terceros

Las obligaciones de encargados del tratamiento, subencargados del tratamiento, proveedores e instrucciones del cliente se gestionan mediante vinculaciones de REG08.

Política de Gestión de Información Documentada y Evidencias del PIMS

La gobernanza del consentimiento se basa en objetos de evidencia controlados, especialmente registros de REG05 y excepciones o hallazgos de REG12.

Sobre las Políticas de Clarysec - Política de Gestión del Consentimiento y Preferencias

Esta política establece la gobernanza operativa para la gestión del consentimiento y de las preferencias dentro del PIMS. Define cuándo puede utilizarse el consentimiento, cómo deben presentarse las solicitudes de consentimiento, qué evidencias deben capturarse, cómo se gestionan los cambios de preferencias y las retiradas, y cómo se revisan, protegen, corrigen y conservan los registros. La política es propiedad del Responsable de Privacidad / Responsable del PIMS, está aprobada por la Alta Dirección y se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento cuando intervienen registros de consentimiento, estados de preferencias o instrucciones de retirada.

Consentimiento no por defecto

Exige comprobaciones de REG02 y REG05 para que el consentimiento se utilice solo cuando sea adecuado para la actividad de tratamiento.

Vinculación con la versión del aviso

Vincula las solicitudes y los registros de consentimiento con la versión aplicable del aviso de privacidad de REG07 antes de que comience el tratamiento.

Cumplimiento de retiradas

Define las obligaciones de registro y actualización de sistemas para las retiradas y los cambios de preferencias dentro de los plazos requeridos.

Registros protegidos

Exige que las evidencias de consentimiento de REG05 estén protegidas frente a alteraciones no autorizadas mediante evidencias de la pista de auditoría.

Preguntas frecuentes

Diseñado para Líderes, por Líderes

Esta política ha sido elaborada por un líder en seguridad con más de 25 años de experiencia en la implementación y auditoría de marcos ISMS en organizaciones globales. Está diseñada no solo como un documento, sino como un marco defendible que resiste el escrutinio de los auditores.

Elaborado por un experto que cuenta con:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura y temas

🏢 Departamentos objetivo

Privacidad Legal Cumplimiento Seguridad de TI Oficina del Delegado de Protección de Datos

🏷️ Cobertura temática

Gestión de la Privacidad de la Información Tratamiento de datos personales Consentimiento y base jurídica Registros de tratamiento Responsabilidades del responsable y del encargado del tratamiento Gestión de terceros Supervisión y medición
€69

Compra única

Descarga instantánea
Actualizaciones de por vida

Esta política es 1 de 25 en el Pack PIMS ISO/IEC 27701 completo

Ahorre un 52%

Obtenga las 25 políticas PIMS, el conjunto completo de registros y un plan de implementación detallado por €799, en lugar de €1.675 individualmente.

Ver Pack 27701 completo →
Consent and Preference Management Policy

Detalles del producto

Tipo: policy
Categoría: ISO 27701 PIMS Policy Pack
Estándares: 5