By: admin Encendido: 26 diciembre, 2017 In: RGPD

 

El Grupo de Trabajo del Artículo del 29 propone los siguientes criterios que los responsables del tratamiento pueden usar para evaluar si una EIPD o  Evaluación de Impacto de protección de datos, o una metodología usada para realizar una EIPD o  Evaluación de Impacto de protección de datos, es suficientemente exhaustiva para cumplir con el RGPD:
 se ofrece una descripción sistemática del tratamiento [artículo 35, apartado 7, letra a)]:
 se tienen en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento (considerando 90);
 se registran los datos personales, los destinatarios y el periodo durante el cual se conservarán dichos datos;
 se ofrece una descripción funcional de la operación de tratamiento;
 se identifican los medios de los que dependen los datos personales (hardware, software, redes, personas, papel o canales de transmisión del papel);
 se tiene en cuenta el cumplimiento de los códigos de conducta aprobados (artículo 35, apartado 8);
 se evalúan la necesidad y la proporcionalidad [artículo 35, apartado 7, letra b)];
 se determinan las medidas previstas para cumplir el Reglamento [artículo 35, apartado 7, letra d), y considerando 90], teniendo en cuenta:
 las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
 fines determinados, explícitos y legítimos [artículo 5, apartado 1, letra b)];
 legalidad del tratamiento (artículo 6);
 datos adecuados, pertinentes y limitados a lo necesario [artículo 5, apartado 1, letra c)];
 duración limitada de la conservación [artículo 5, apartado 1, letra e)];
 medidas que contribuyen a los derechos de los interesados:
 información facilitada al interesado (artículos 12, 13 y 14);
 derecho de acceso y a la portabilidad de los datos (artículos 15 y 20);
 derecho de rectificación y de supresión (artículos 16, 17 y 19);
 derecho de oposición y a la limitación del tratamiento (artículos 18, 19 y 21);
 relaciones con los encargados del tratamiento (artículo 28);
 garantías concurrentes en las transferencias internacionales (capítulo V);
 consulta previa (artículo 36).
 se gestionan los riesgos para los derechos y libertades de los interesados [artículo 35, apartado 7, letra c)]:
 se aprecian el origen, la naturaleza, la particularidad y la gravedad de los riesgos (véase el considerando 84) o, más concrétamente, de cada riesgo (acceso ilegítimo, modificación no deseada y desaparición de datos) desde la perspectiva de los interesados;
 se tienen en cuenta los orígenes de los riesgos (considerando 90);
 se identifican efectos posibles sobre los derechos y libertades de los interesados en caso de que se produzcan hechos que incluyan el acceso ilegítimo, la modificación no deseada o la desaparición de datos;
 se identifican las amenazas que pueden provocar el acceso ilegítimo, la modificación no deseada o la desaparición de datos;
 se estiman la probabilidad y la gravedad (considerando 90);
 se determinan las medidas previstas para tratar esos riesgos [artículo 35, apartado 7, letra d), y considerando 90];
 participan las partes interesadas:
 se recaba el asesoramiento del delegado de protección de datos (artículo 35, apartado 2);
 se recaban las opiniones de los interesados o sus representantes (artículo 35, apartado 9).