El Grupo de Trabajo del Artículo del 29 propone los siguientes criterios que los responsables del tratamiento pueden usar para evaluar si una EIPD o Evaluación de Impacto de protección de datos, o una metodología usada para realizar una EIPD o Evaluación de Impacto de protección de datos, es suficientemente exhaustiva para cumplir con el RGPD:
se ofrece una descripción sistemática del tratamiento [artículo 35, apartado 7, letra a)]:
se tienen en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento (considerando 90);
se registran los datos personales, los destinatarios y el periodo durante el cual se conservarán dichos datos;
se ofrece una descripción funcional de la operación de tratamiento;
se identifican los medios de los que dependen los datos personales (hardware, software, redes, personas, papel o canales de transmisión del papel);
se tiene en cuenta el cumplimiento de los códigos de conducta aprobados (artículo 35, apartado 8);
se evalúan la necesidad y la proporcionalidad [artículo 35, apartado 7, letra b)];
se determinan las medidas previstas para cumplir el Reglamento [artículo 35, apartado 7, letra d), y considerando 90], teniendo en cuenta:
las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
fines determinados, explícitos y legítimos [artículo 5, apartado 1, letra b)];
legalidad del tratamiento (artículo 6);
datos adecuados, pertinentes y limitados a lo necesario [artículo 5, apartado 1, letra c)];
duración limitada de la conservación [artículo 5, apartado 1, letra e)];
medidas que contribuyen a los derechos de los interesados:
información facilitada al interesado (artículos 12, 13 y 14);
derecho de acceso y a la portabilidad de los datos (artículos 15 y 20);
derecho de rectificación y de supresión (artículos 16, 17 y 19);
derecho de oposición y a la limitación del tratamiento (artículos 18, 19 y 21);
relaciones con los encargados del tratamiento (artículo 28);
garantías concurrentes en las transferencias internacionales (capítulo V);
consulta previa (artículo 36).
se gestionan los riesgos para los derechos y libertades de los interesados [artículo 35, apartado 7, letra c)]:
se aprecian el origen, la naturaleza, la particularidad y la gravedad de los riesgos (véase el considerando 84) o, más concrétamente, de cada riesgo (acceso ilegítimo, modificación no deseada y desaparición de datos) desde la perspectiva de los interesados;
se tienen en cuenta los orígenes de los riesgos (considerando 90);
se identifican efectos posibles sobre los derechos y libertades de los interesados en caso de que se produzcan hechos que incluyan el acceso ilegítimo, la modificación no deseada o la desaparición de datos;
se identifican las amenazas que pueden provocar el acceso ilegítimo, la modificación no deseada o la desaparición de datos;
se estiman la probabilidad y la gravedad (considerando 90);
se determinan las medidas previstas para tratar esos riesgos [artículo 35, apartado 7, letra d), y considerando 90];
participan las partes interesadas:
se recaba el asesoramiento del delegado de protección de datos (artículo 35, apartado 2);
se recaban las opiniones de los interesados o sus representantes (artículo 35, apartado 9).