España│ Nueva herramienta de la AEPD para la realización de Evaluaciones de Impacto

2022-03-09T08:18:00
España

La AEPD publica un nuevo documento (lista de verificación) para ayudar a los responsables de tratamiento en la realización de Evaluaciones de Impacto

España│ Nueva herramienta de la AEPD para la realización de Evaluaciones de Impacto
9 de marzo de 2022

La Agencia Española de Protección de Datos (AEPD) ha publicado un documento que contiene una lista de verificación para ayudar a los responsables del tratamiento a identificar y determinar de forma rápida si el proceso, así como la documentación que están recabando, para ejecutar una Evaluación de Impacto en la Protección de Datos (EIPD) contiene todos los elementos formales mínimos que se esperan de dicha EIPD.  

En particular, a través de este documento la AEPD busca que los responsables cumplan con las obligaciones de desarrollar y documentar una EIPD para que, en el caso de que sea necesario realizar una consulta previa a la AEPD, sea más sencillo comprobar que se cumple con los requisitos para la presentación de dicha consulta, siguiendo las indicaciones que se incluyen en la Instrucción 1/2021, por la que se establecen directrices respecto de la función consultiva de la Agencia y que fue publicada en el Boletín Oficial del Estado el pasado 5 de noviembre de 2021.

En este sentido y en el caso de que los responsables del tratamiento tengan previsto realizar una consulta previa a la AEPD, la Instrucción 1/2021 establece que, los responsables del tratamiento deberán contemplar lo señalado por la AEPD en sus guías y recomendaciones. Por tanto, el responsable tendrá que presentar la lista de verificación debidamente cumplimentada ante la AEPD. Con ello, la AEPD se asegura de que dispondrá de información suficiente para responder al responsable de la forma más concisa posible a la consulta remitida.

El documento se divide en 14 apartados a través de los cuales se comprueban, entre otras cuestiones, los requisitos generales para la consulta previa, requisitos sobre el delegado de protección de datos, contexto e identificación del tratamiento a llevar a cabo e intervinientes, así como si se cumplen los requisitos del RGPD, si existe una evaluación objetiva y positiva de la idoneidad, necesidad y proporcionalidad del tratamiento y si se cumplen con los requisitos de remisión a la consulta previa.

Este documento viene a completar la guía “Gestión del riesgo y evaluación de impacto en tratamiento de datos personales” que fue publicada por la AEPD y que se basa en tres pilares principales. En primer lugar, una descripción de los fundamentos de la gestión de riesgos para los derechos y libertades, seguido de un apartado que incluye un desarrollo metodológico básico para la aplicación de la gestión del riesgo para los derechos y libertades, y un apartado final enfocado a los casos en los que será preciso realizar una EIPD.

Cabe destacar que la AEPD ha puesto a disposición de responsables y encargados del tratamiento, así como del público en general, diversos recursos para la correcta ejecución de las EIPD. En este sentido y junto con las dos guías citadas en este artículo, la AEPD también puso a disposición la herramienta gratuita “Evalúa-Riesgo EIPD”, cuyo objetivo es orientar a responsables y encargados a identificar factores de riesgo para los derechos y libertades de los interesados y obtener un primer análisis acerca de si será necesario o no realizar un EIPD.

Teniendo en cuenta que la ejecución de los EIPD es una parte del Reglamento General de Protección de Datos sobre el que la AEPD parece que pone especial atención, seguiremos atentos a cualquier novedad que se publique en esta materia.

9 de marzo de 2022