Inicio
Protección de datos
Marginales
Descripción del contenido...tos o EIPD
Ver Indice
»

Última revisión
07/10/2024

datos

720 - Descripción del contenido de una evaluación de impacto del tratamiento de datos o EIPD

Tiempo de lectura: 2 min

Tiempo de lectura: 2 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

El RGPD establece que una EIPD debería incluir como mínimo una descripción sistemática de las operaciones y fines previstos, una evaluación de la necesidad y proporcionalidad de las operaciones y una evaluación de los riesgos para los derechos y libertades de los interesados, así como las medidas para afrontar los riesgos y demostrar la conformidad con el RGPD. 

El artículo 35, apartado 7, del RGPD establece que la evaluación de impacto en el tratamiento de protección de datos ha de incluir como mínimo:

  • Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento.
  • Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
  • Una evaluación de los riesgos para los derechos y libertades de los interesados.
  • Las medidas previstas para:
    • Afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
    • Demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Como se establece en los apartados 8 a 11 del artículo 35 del RGPD, en la EIPD también se tendrá en cuenta:

  • El cumplimiento de los códigos de conducta aprobados por los responsables o encargados correspondientes al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados.
  • Que el responsable puede recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
  • Que se exceptúa de todo lo expuesto en los puntos anteriores (apartados 1 a 7 del art. 35 RGPD) el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, regulado de forma específica por normas europeas o estatales, salvo que los EE. MM. consideren necesario proceder a dicha evaluación previa a las actividades de tratamiento. 
  • El responsable examinará, cuando sea necesario, si el tratamiento es conforme con la EIPD, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.