El responsable, junto con el Delegado de Protección de Datos y los encargados del tratamiento.
El responsable del tratamiento debe garantizar que la EIPD se lleva a cabo (artículo 35, apartado 2). Cualquier otra persona, de dentro o fuera de la organización, puede llevar a cabo una EIPD, pero el responsable del tratamiento sigue respondiendo en última instancia por la tarea.El encargado del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado (artículo 35, apartado 2), y dicho asesoramiento, junto con las decisiones adoptadas por el responsable, debe ser documentado en la EIPD. El Delegado de Protección de Datos también debe controlar la realización de la EIPD [artículo 39, apartado 1, letra c)]. Se ofrece más orientación en las Directrices del GT29 sobre el Delegado de Protección de Datos, 16/EN WP 243.
Si un encargado lleva a cabo el tratamiento total o parcialmente, dicho encargado debe ayudar al responsable a realizar la EIPD y debe ofrecer la información necesaria [de acuerdo al artículo 28, apartado 3, letra f)]. El responsable debe recabar «la opinión de los interesados o de sus representantes» (artículo 35, apartado 9), «[c]uando proceda». El GT29 considera que:
– dichas opiniones pueden recabarse a través de una variedad de medios dependiendo del contexto (p. ej., un estudio genérico relacionado con el fin y los medios de la operación de tratamiento, una pregunta a los representantes de los empleados o encuestas habituales enviadas a los futuros clientes del responsable del tratamiento) garantizando que el responsable dispone de una base legal para llevar a cabo el tratamiento de cualquier dato personal necesario para la recogida de dichas opiniones. Aunque cabe destacar que, obviamente, autorizar el tratamiento no es una forma de recabar las opiniones de los interesados;
– si la decisión final del responsable del tratamiento difiere de las opiniones de los interesados, dicho responsable debe documentar sus motivos para seguir adelante o no;
– asimismo, el responsable debe documentar su justificación para no recabar las opiniones de los interesados si decide que esto no resulta adecuado, por ejemplo, si hacerlo pusiera en peligro la confidencialidad de los planes de negocio de las empresas, o si fuera desproporcionado o impracticable.
Finalmente, resulta una buena práctica definir y documentar otras funciones y responsabilidades específicas, dependiendo de la política interna, los procesos y las normas, p. ej.:
– en el caso de que unidades empresariales específicas propusieran llevar a cabo una EIPD, dichas unidades deberían aportar información a la EIPD y participar en el proceso de validación de dicha evaluación;
– en su caso, se recomienda recabar el asesoramiento de expertos independientes de distintas profesiones24 (abogados, expertos en TI, expertos en seguridad, sociólogos, expertos en ética, etc.).
– las funciones y responsabilidades de los encargados del tratamiento deben definirse contractualmente; y la EIPD debe llevarse a cabo con la ayuda del encargado, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del primero [artículo 28, apartado 3, letra f)];
– el responsable principal de la seguridad de la información (CISO), en caso de ser nombrado, así como el delegado de protección de datos, podrían sugerir que el responsable llevara a cabo una EIPD sobre una operación de tratamiento específica, y deberían ayudar a las partes interesadas en la metodología, ayudar a evaluar la calidad de la evaluación de riesgo y si el riesgo residual es aceptable, y a desarrollar conocimientos específicos para el contexto del responsable del tratamiento;
– el responsable principal de la seguridad de la información (CISO), en caso de ser nombrado, o el servicio informático, deberían ofrecer ayuda al responsable y podrían proponer la realización de una EIPD sobre una operación de tratamiento específica, dependiendo de las necesidades de seguridad y operativas.
