Se usan diferentes metodologías pero criterios comunes.
El RGPD establece las características mínimas de una EIPD (artículo 35, apartado 7, y considerandos 84 y 90):
– «una descripción […] de las operaciones de tratamiento previstas y de los fines del tratamiento»;
– «una evaluación de la necesidad y la proporcionalidad» del tratamiento;
– «una evaluación de los riesgos para los derechos y libertades de los interesados»;
– «las medidas previstas para:
- o afrontar los riesgos»
- o «demostrar la conformidad con el presente Reglamento».
El cumplimiento de un código de conducta (artículo 40) debe tenerse en cuenta (artículo 35, apartado 8) a la hora de evaluar el impacto de la operación de tratamiento de datos. Esto puede resultar de utilidad para demostrar que se han elegido o aplicado medidas adecuadas, siempre que el código de conducta sea apropiado para la operación de tratamiento. Asimismo, deben tenerse en cuenta las certificaciones, sellos y marcas destinados a demostrar el cumplimiento de lo dispuesto en el RGPD en las operaciones de tratamiento de los responsables y los encargados (artículo 42), así como las normas corporativas vinculantes.
Todos los requisitos pertinentes establecidos en el RGPD ofrecen un marco amplio y genérico para diseñar y llevar a cabo una EIPD. La aplicación práctica de una EIPD dependerá de los requisitos establecidos en el RGPD que pueden verse complementados con una orientación práctica más detallada. Por tanto, la aplicación de la EIPD es escalable. Esto significa que incluso un pequeño responsable del tratamiento puede diseñar y aplicar una EIPD que sea apta para sus operaciones de tratamiento.
El considerando 90 del RGPD describe una serie de componentes de la EIPD que se solapan con componentes bien definidos de gestión del riesgo (p. ej., ISO 3100026). En términos de gestión del riesgo, una EIPD pretende «gestionar riesgos» para los derechos y libertades de las personas físicas, usando los siguientes procesos:
– estableciendo el contexto, es decir, «teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo»;
– evaluando los riesgos: «valorar la particular gravedad y probabilidad del alto riesgo»;
– tratando los riesgos: «mitigar el riesgo», «garantizar la protección de los datos personales» y «demostrar la conformidad con el presente Reglamento».
Nota: La EIPD con arreglo al RGPD es un instrumento destinado a gestionar riesgos para los derechos de los interesados y, por tanto, asume sus perspectivas como es el caso en determinados ámbitos (p. ej., seguridad de la sociedad). En cambio, la gestión del riesgo en otros ámbitos (p. ej., seguridad de la información) se centra en la organización.
El RGPD ofrece flexibilidad a los responsables del tratamiento para determinar la estructura y forma precisas de la EIPD con el fin de permitir que esta se ajuste a las prácticas de trabajo ya existentes. Existe una serie de distintos procesos establecidos dentro de la UE y en todo el mundo que tienen en cuenta los componentes descritos en el considerando 90. No obstante, sin importar su forma, una EIPD debe representar una auténtica evaluación de los riesgos que permita a los responsables tomar medidas para abordarlos.
Se pueden usar diferentes metodologías (véase el anexo 1 para consultar ejemplos de metodologías de evaluación del impacto relativas a la protección de datos y la intimidad) para ayudar a la aplicación de los requisitos básicos establecidos en el RGPD. Se han identificado criterios comunes con el fin de permitir la existencia de estos distintos enfoques, al tiempo que se permite a los responsables del tratamiento cumplir con el RGPD (véase el anexo 2). Aclaran los requisitos básicos del Reglamento, pero ofrecen un alcance suficiente para las diferentes formas de aplicación. Estos criterios pueden usarse para mostrar que una metodología de EIPD particular cumple los estándares exigidos por el RGPD. Depende del responsable del tratamiento elegir una metodología, pero esta debe cumplir los criterios establecidos en el anexo 2.
