Evaluación de Impacto (EIPD) (Art. 35 RGPD)

Evaluación de Impacto (EIPD)

La realización de Evaluaciones de Impacto sobre la protección de datos (aplicables de forma obligatoria en ciertos tratamientos) tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. Por ello, posiblemente no sería acorde con el espíritu del Reglamento exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.

Sin embargo, en la medida en que esos tratamientos incorporen, a partir de mayo de 2018, nuevos datos, debe entenderse que, pese a que el tratamiento siga siendo el mismo, se estaría aplicando a nuevos interesados cuyos derechos y libertades podrían estar en riesgo a partir de la fecha en que sus datos comienzan a ser tratados. Por ello, en esos casos sí sería necesario que se llevara a cabo una EIPD en los supuestos a los que se refiere el RGPD.

La evaluación de impacto relativa a la protección de datos se basa en:

Descripción sistemática de las operaciones de tratamiento.

Evaluación de la necesidad y proporcionalidad del tratamiento.

Medidas de seguridad previstas para afrontar los riesgos.

El Enfoque de Riesgo

El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones.

Evaluación de Impacto (EIPD) (Art. 35 RGPD)