Cuando haya «alto riesgo». Como hemos explicado en días anteriores:
– se exige una EIPD cuando «sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35, apartado 1, véase III.B.a). Como ejemplo, se considera que el tratamiento de datos sanitarios a gran escala entraña probablemente un alto riesgo y requiere una EIPD;
– por tanto, corresponde al responsable del tratamiento evaluar los riesgos para los derechos y libertades de los interesados e identificar las medidas29 previstas para reducirlos hasta un nivel aceptable y demostrar el cumplimiento del RGPD (artículo 35, apartado 7, véase III.C.c). Un ejemplo podría ser la utilización de medidas de seguridad técnicas y organizativas apropiadas para la conservación de datos personales en ordenadores portátiles (cifrado completo de disco efectivo, sólida gestión de claves, copias de seguridad garantizadas, etc.), además de la aplicación de las políticas existentes (notificación, consentimiento, derecho de acceso, derecho de oposición, etc.).En el ejemplo anterior sobre ordenadores portátiles, si el responsable del tratamiento ha considerado que los riesgos son suficientemente reducidos y teniendo en cuenta el artículo 36, apartado 1, y los considerandos 84 y 94, el tratamiento puede seguir adelante sin necesidad de consultar a la autoridad de control.
El responsable del tratamiento debe consultar a la autoridad de control en los casos en que dicho responsable no pueda abordar suficientemente los riesgos identificados (es decir, los riesgos residuales se mantienen elevados).
Un ejemplo de riesgo residual elevado inaceptable incluye casos en los que los interesados pueden encontrarse con consecuencias importantes, o incluso irreversibles, de las que no puedan recuperarse (p. ej.: un acceso ilegítimo a datos que suponga una amenaza para la vida de los interesados, un despido, un peligro financiero) o cuando parezca obvio que existirá un riesgo (p. ej.: por no poder reducir el número de personas que acceden a los datos debido a sus modos de intercambio, uso o distribución, o cuando no se corrige una vulnerabilidad conocida).
Cuando el responsable del tratamiento no pueda hallar suficientes medidas para reducir los riesgos hasta un nivel aceptable (es decir, los riesgos residuales siguen siendo elevados), se debe consultar a la autoridad de control.
Además, los responsables del tratamiento deberán consultar a la autoridad de control siempre que el Derecho de los Estados miembros les obligue a consultar a dicha autoridad o a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública (artículo 36, apartado 5).
No obstante, debe señalarse que, independientemente de si se debe consultar o no a la autoridad de control a causa del nivel de riesgo residual, siguen estando vigentes las obligaciones de conservar un registro de la EIPD y la actualización de este a su debido tiempo.
