Las EIPD o Evaluaciones de Impacto de Protección de Datos son una forma útil de que los responsables del tratamiento apliquen sistemas de tratamiento de datos que cumplan con el RGPD y pueden ser obligatorias para determinados tipos de operaciones de tratamiento. Son escalables y pueden adoptar diferentes formas, pero el RGPD establece los requisitos básicos de una EIPD eficaz. Los responsables del tratamiento deben percibir la realización de una EIPD como una actividad útil y positiva que ayuda a cumplir con la legalidad.
El artículo 24, apartado 1, establece la obligación básica del responsable en términos de cumplimiento del RGPD: «Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.».
La EIPD o Evaluaciones de Impacto de Protección de Datos representa una parte fundamental del cumplimiento del Reglamento cuando se planifican o realizan operaciones de tratamiento de alto riesgo. Esto significa que los responsables del tratamiento deben usar los criterios establecidos en el presente documento para determinar si se debe realizar una EIPD o Evaluaciones de Impacto de Protección de Datos. La política interna de los responsables del tratamiento puede ampliar esta lista más allá de los requisitos jurídicos del RGPD. Esto debe ofrecer una mayor confianza de los interesados u otros responsables del tratamiento.
Cuando se planifica un tratamiento que probablemente sea de alto riesgo, el responsable del mismo debe:
– elegir una metodología de EIPD o Evaluaciones de Impacto de Protección de Datos (véanse los ejemplos del anexo 1) que satisfaga los criterios del anexo 2, o especificar y aplicar un proceso sistemático de EIPD o Evaluaciones de Impacto de Protección de Datos que:
o cumpla con los criterios del anexo 2;
o esté integrado en los procesos existentes de diseño, desarrollo, cambio, riesgo y revisión del funcionamiento de acuerdo con los procesos internos, el contexto y la cultura;
o implique a las partes interesadas apropiadas y defina claramente sus responsabilidades (responsable, delegado de protección de datos, interesados o sus representantes, empresas, servicios técnicos, encargados, responsable de la seguridad de la información, etc.);
– ofrecer un informe relativo a la EIPD o Evaluaciones de Impacto de Protección de Datos a la autoridad de control competente cuando sea necesario hacerlo;
– consultar a la autoridad de control cuando no consiga determinar medidas suficientes para mitigar los altos riesgos;
– examinar periódicamente la EIPD o Evaluaciones de Impacto de Protección de Datos y el tratamiento que esta evalúa, al menos cuando se produzca un cambio del riesgo que representa el tratamiento de la operación;
– documentar las decisiones que se tomen.
