 Los desarrolladores han fijado los principales objetivos que debe alcanzar el dispositivo y han considerado los problemas de protección de datos que su desarrollo y puesta en marcha pueden conllevar.

 Los desarrolladores han considerado cuidadosamente si la cantidad de datos o el tipo de procesamiento que necesita el servicio para funcionar correctamente es compatible con las consideraciones de protección de datos.

 Los desarrolladores pueden garantizar una aplicación adecuada de las políticas de privacidad desde el diseño. Pueden demostrar cómo se están alineando con el RGPD y el marco normativo sobre los datos de localización/proximidad. Las acciones implementadas para garantizar dicha alineación han sido cuidadosamente documentadas.

 Los desarrolladores han considerado los pros y los contras de un sistema centralizado/descentralizado y han tomado una decisión informada que está disponible para el escrutinio de la opinión pública. Para ello, se han realizado y documentado consultas con las principales partes interesadas.

 Los desarrolladores han consultado a las partes interesadas sobre las posibles cuestiones éticas y jurídicas en juego

 Los desarrolladores han comprobado que los diseñadores de la herramienta y todos aquellos que tendrán que tratar con los datos han adquirido un conocimiento adecuado del marco de protección de datos, o han garantizado una participación adecuada de profesionales formados en cuestiones de protección de datos en el equipo de desarrollo.

 Los desarrolladores han introducido un programa de formación sobre cuestiones de confidencialidad, integridad y disponibilidad de los datos.

 Los desarrolladores han involucrado a un experto en cuestiones éticas/jurídicas desde las fases preliminares del proyecto de investigación

 Los desarrolladores han comprobado que disponen de una base jurídica que permite el tratamiento lícito de los datos

 Los responsables del tratamiento han comprobado el marco normativo nacional o de la UE relativo al uso de los datos personales.

 Si los datos personales se utilizan para fines compatibles, el responsable del tratamiento ha realizado la prueba de compatibilidad y se ha asegurado de que los usos son compatibles.

 Si los datos se utilizan para una finalidad distinta de la buscada inicialmente, la herramienta está diseñada para informar al usuario sobre este uso.

 La herramienta está diseñada para permitir la reutilización de los datos personales sólo cuando se basa en la legislación de la Unión o de los Estados miembros que establece una lista de fines claramente compatibles para los que el tratamiento posterior puede ser autorizado legalmente o constituye una medida necesaria y proporcionada en una sociedad democrática

☐ Los responsables del tratamiento pueden demostrar que, tras sopesar las circunstancias del tratamiento, han llegado a la conclusión de que el consentimiento es la base jurídica más adecuada para el tratamiento.

☐ Los responsables del tratamiento solicitan el consentimiento de los interesados de forma libre, específica, informada e inequívoca, de acuerdo con el artículo 7 del RGPD.

☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento.

☐ El consentimiento amplio utilizado para el tratamiento de categorías especiales de datos es compatible con la normativa nacional.

☐ Cuando se utiliza el consentimiento amplio, el responsable del tratamiento es especialmente consciente de que los interesados tienen la oportunidad de retirar su consentimiento y de elegir si desean o no participar en determinadas investigaciones y partes de las mismas.

☐ Los responsables del tratamiento tienen una relación directa con el sujeto que proporciona los datos.

☐ El desequilibrio de poder entre los responsables del tratamiento y los interesados no impide el libre consentimiento. Esto es especialmente importante en determinados contextos como el marco laboral.

☐ Los responsables del tratamiento piden a las personas que opten activamente por el consentimiento.

☐ Los responsables del tratamiento no utilizan cuadros premarcados ni ningún otro tipo de consentimiento por defecto.

☐ Los responsables del tratamiento utilizan un lenguaje claro y sencillo, fácil de entender.

☐ Los responsables del tratamiento especifican para qué quieren los datos, qué van a hacer con ellos y durante cuánto tiempo serán tratados.

☐ Los responsables del tratamiento dan opciones distintas (“granulares”) para consentir por separado los distintos fines y tipos de tratamiento.

☐ Los responsables del tratamiento vinculan qué datos o categorías de los mismos serán tratados para cada finalidad.

☐ Los responsables del tratamiento han informado a los interesados sobre su derecho a retirar el consentimiento en cualquier momento y sobre cómo hacerlo.

☐ Los responsables del tratamiento garantizan que las personas pueden negar su consentimiento sin que ello suponga un perjuicio para su acceso al servicio.

☐ Los responsables del tratamiento evitan que el consentimiento sea una condición previa al servicio.

 El dispositivo no incluye herramientas que permitan un uso de los datos que no sea compatible con la preservación de espacios de privacidad relevantes.

 La herramienta tiene en cuenta los principios de sostenibilidad medioambiental, tanto en lo que respecta al propio sistema como a la cadena de suministro a la que se conecta (cuando sea pertinente)

 La configuración por defecto del dispositivo no permite usos desproporcionados de los datos con fines de vigilancia.

 Los responsables del tratamiento se han asegurado de que la herramienta tenga en cuenta el bienestar de todas las partes interesadas y no es de ninguna manera previsible una reducción general de su bienestar.

 El dispositivo no está diseñado para fines incompatibles con los propios principios éticos de la UE.

 El responsable del tratamiento determinó las jurisdicciones en las que tendrán lugar las actividades de tratamiento de datos.

 El responsable del tratamiento ha comprobado si esas jurisdicciones han promulgado listas en las que se indica el tratamiento que requiere una EIPD obligatoria y ha visto si el tratamiento de datos previsto está cubierto por esas disposiciones.

 Si el responsable del tratamiento no está seguro de la necesidad de llevar a cabo una EIPD, debe consultar con el DPD o, en su lugar, con el departamento jurídico del responsable.

 En caso de ser necesaria, el responsable del tratamiento llevó a cabo una EIPD.

 En caso de ser necesaria, el responsable realizó una consulta previa a la autoridad de control correspondiente.

 Si se sugirieron cambios, el responsable siguió el consejo de la autoridad de control.

☐ El responsable evaluó las posibles formas de ataque a las que podría ser vulnerable la herramienta, introdujo medidas de mitigación y las documentó.

☐ El responsable consideró diferentes tipos y naturalezas de vulnerabilidades, como la contaminación de datos, la infraestructura física y los ciberataques.

☐ El responsable puso en marcha medidas o sistemas para garantizar la integridad y resistencia del sistema frente a posibles ataques.

☐ El responsable verificó cómo se comporta el sistema en situaciones y entornos inesperados.

☐ El responsable consideró hasta qué punto el sistema podría ser de doble uso. Si es así, el responsable tomó las medidas preventivas adecuadas contra ello.

☐ El responsable se aseguró de que el sistema dispone de un plan de emergencia suficiente si se encuentra con ataques de adversarios u otras situaciones inesperadas (por ejemplo, procedimientos técnicos de conmutación o solicitud de un operador humano antes de proceder).

☐ Los datos enviados al servidor central se transmiten por un canal seguro. El uso de los servicios de notificación proporcionados por los proveedores de plataformas de sistemas operativos se evalúa cuidadosamente y no conlleva la divulgación de ningún dato a terceros.

☐ Las solicitudes no son vulnerables a la manipulación por parte de un usuario malintencionado.

☐ Se implementan técnicas criptográficas de última generación para asegurar los intercambios entre la aplicación y el servidor y entre las aplicaciones y, por regla general, para proteger la información almacenada en las aplicaciones y en el servidor.

☐ El servidor central no guarda los identificadores de conexión a la red (por ejemplo, las direcciones IP) de ningún usuario.

☐ Para evitar la suplantación de identidad o la creación de usuarios falsos, el servidor autentifica la aplicación.

☐ La aplicación autentifica al servidor central.

☐ Las funciones del servidor están protegidas contra los ataques de repetición.

☐ La información transmitida por el servidor central está firmada para autenticar su origen e integridad.

☐ El acceso a todos los datos almacenados en el servidor central y no disponibles públicamente está restringido únicamente a las personas autorizadas.

☐ El gestor de permisos del dispositivo a nivel del sistema operativo sólo solicita los permisos necesarios para acceder y utilizar los módulos de comunicación, para almacenar los datos en el terminal y para intercambiar información con el servidor central.

☐ El personal y otras personas físicas involucradas en el proyecto han sido informados y concienciados sobre las medidas de seguridad.

 Los responsables del tratamiento han aplicado políticas adecuadas para notificar las violaciones de seguridad de los datos personales lo antes posible y todos los participantes en el proceso de desarrollo las conocen bien

 Se han diseñado plantillas sobre la información que debe incluirse en las notificaciones.

 Se han creado políticas y herramientas de comunicación, destinadas a facilitar la comunicación con los interesados en caso de que se produzca una violación de seguridad de los datos personales.

 Los responsables del tratamiento tienen controles adicionales en sus sistemas de elaboración de perfiles/toma de decisiones automatizada para proteger a cualquier grupo vulnerable (incluidos los niños).

 La información y las políticas de privacidad deben ser accesibles a través de diferentes medios (de voz, imágenes, vídeo o en un lenguaje fácil de entender). Esto es especialmente importante si el dispositivo de localización está dirigido a un grupo de usuarios específico.

 El consentimiento se adapta a las poblaciones vulnerables y a las necesidades de los niños.

 Se han considerado opciones de uso que facilitan la utilización del dispositivo por parte de las poblaciones vulnerables.

 Si el responsable está dispuesto a utilizar los datos para una finalidad distinta de la solicitada inicialmente, la herramienta está diseñada para pedir permiso a los usuarios vulnerables de forma compatible con sus condiciones personales.

 El responsable del tratamiento ha establecido medidas para medir si la herramienta realiza un número inaceptable de predicciones sesgadas.

 El responsable ha establecido una serie de medidas para aumentar la precisión de la herramienta.

 El responsable ha puesto en marcha medidas para evaluar si se necesitan datos adicionales, por ejemplo, para eliminar los sesgos.

 El responsable ha verificado el daño que se produciría si la herramienta realizara predicciones sesgadas.

 La herramienta se basa en una arquitectura que se apoya al máximo en los dispositivos de los usuarios.

 Las solicitudes realizadas por las aplicaciones al servidor central no revelan información innecesaria para los fines del servicio al sistema.

 Para evitar la reidentificación por parte del servidor central, se implementan servidores proxy. El objetivo de estos servidores no colusorios es mezclar los identificadores de varios usuarios antes de compartirlos con el servidor central, para evitar que éste conozca los identificadores (como las direcciones IP) de los usuarios.

 La aplicación y el servidor están cuidadosamente desarrollados y configurados para no recoger datos innecesarios (por ejemplo, no se deben incluir identificadores en los registros del servidor, etc.) y para evitar que terceros recojan datos con otros fines.

 De acuerdo con el principio de minimización de datos, la aplicación no recoge más datos que los estrictamente necesarios para sus fines.

 Cuando sea posible por la finalidad del tratamiento, los responsables establecerán una preferencia por el uso de datos anónimos. Si es necesario utilizar datos personales, los datos seudónimos prevalecerán sobre los datos personales directos.

 La herramienta sólo recoge los datos transmitidos por las instancias de la aplicación o aplicaciones equivalentes interoperables. No se recogen datos relativos a otras aplicaciones y/o dispositivos de comunicación de proximidad.

 Las solicitudes realizadas por las aplicaciones al servidor central no revelan información innecesaria para los fines del servicio al sistema.

 Las solicitudes realizadas por la herramienta al servidor central no revelan información innecesaria sobre el usuario, salvo, eventualmente, y sólo cuando sea necesario, sus identificadores seudónimos y su lista de contactos.

 El uso de la aplicación no permite a los usuarios saber nada sobre otros usuarios, si no es estrictamente necesario.

 El servidor central no mantiene ni hace circular una lista de los identificadores seudónimos de los usuarios

☐ Los responsables del tratamiento han identificado claramente su finalidad o finalidades de tratamiento, que deben ser “específicas”.

☐ Los responsables han documentado esos fines.

☐ Los responsables incluyen detalles de sus fines en la información sobre la privacidad de las personas, garantizando que el interesado esté adecuadamente informado, de acuerdo con los arts. 12-14 del RGPD.

☐ La herramienta no puede desviarse inadvertidamente de su uso principal.

☐ La herramienta no utiliza cortafuegos para recoger datos innecesarios

☐ Si el responsable inicia un tratamiento posterior de datos personales, se ha realizado y documentado una prueba de compatibilidad para cumplir con el principio de responsabilidad. Esta prueba debe tener en cuenta, como mínimo, los factores enumerados en el art. 6(4) del RGPD.

☐ Si el responsable desea seguir tratando los datos con una finalidad distinta a la inicialmente obtenida que sea incompatible con la finalidad original, y en el caso de que el consentimiento sea la base jurídica más adecuada, la herramienta está diseñada para pedir permiso a los usuarios. En cualquier otro caso, el responsable debe encontrar la base jurídica más adecuada.

☐ Si la herramienta ha sido diseñada para trabajar con datos de proximidad, no puede utilizarse para sacar conclusiones sobre la ubicación exacta de los usuarios basándose en su interacción y/o en cualquier otro medio.

☐ Si la herramienta ha sido diseñada para trabajar con datos de localización, no puede utilizarse para sacar conclusiones sobre la interacción de los usuarios con otras personas o para realizar inferencias sobre otras categorías de datos basadas en los lugares visitados por la persona o cualquier otro medio.

 El historial de contactos o los datos de localización almacenados en el servidor central se eliminan cuando ya no son necesarios para los fines del tratamiento.

 El procedimiento de supresión de datos está adecuadamente diseñado y el responsable y los usuarios lo conocen bien.

 Cualquier identificador incluido en el historial local se borra después de X días desde su recogida (el valor de X viene definido por la finalidad del tratamiento).

 Los datos de los registros del servidor se minimizan y cumplen con los requisitos de protección de datos

 Si hay un servidor central y éste necesita almacenar identificadores de datos, éstos deben ser eliminados una vez que se distribuyen a las demás aplicaciones, a menos que una razón legal/técnica recomiende lo contrario.

☐ Los responsables revisan periódicamente su tratamiento y, en caso necesario, actualizan su documentación y la información sobre la privacidad de las personas.

☐ Los usuarios son informados de todos los datos personales que se van a recoger. ☐ ☐ Estos datos se recogen sólo si se aplica una base legal legitimadora del tratamiento

☐ Los responsables explican cómo las personas pueden acceder a los detalles de la información que se utiliza para los servicios que ofrece la herramienta.

 Los usuarios pueden ejercer sus derechos a través de la aplicación.

 Si la herramienta ha sido diseñada para trabajar con datos de proximidad, no puede utilizarse para sacar conclusiones sobre la ubicación de los usuarios en función de su interacción y/o cualquier otro medio.

 Si la herramienta ha sido diseñada para trabajar con datos de localización, no puede utilizarse para sacar conclusiones sobre la interacción de los usuarios con otras personas.

 Si los datos se utilizan con fines compatibles, el responsable ha realizado previamente el test compatibilidad.

 Si el responsable desea utilizar los datos para una finalidad distinta a la inicialmente buscada, la herramienta está diseñada para pedir permiso a los usuarios.

 El responsable del tratamiento ha documentado cómo se detectan, detienen y evitan los efectos indeseables del sistema o la herramienta.

 El responsable del tratamiento ha documentado todas las medidas de la organización, y las garantías aplicadas, para garantizar el cumplimiento de la normativa de protección de datos.

 Si los datos se utilizan para fines compatibles, el responsable ha documentado adecuadamente la realización de la prueba de compatibilidad.

 El responsable del tratamiento ha documentado todas las EIPD realizadas, las actividades llevadas a cabo por el correspondiente DPD y sus interacciones con las correspondientes APD (si procede)

 El código fuente de la aplicación y de su backend es abierto, y las especificaciones técnicas se han hecho públicas, para que cualquier interesado pueda auditar el código y, en su caso, contribuir a mejorar el código, corregir posibles errores y garantizar la transparencia en el tratamiento de los datos personales.

 Si el tratamiento implica una transferencia internacional de datos, los responsables del tratamiento obtuvieron información sobre el lugar en el que se realizarán las actividades de tratamiento de datos y (1) llevaron a cabo la revisión de la jurisprudencia sugerida en el punto siguiente; y (2) evaluaron si las jurisdicciones, en el caso de países no pertenecientes a la UE, son consideradas adecuadas por la Comisión Europea.

 Los responsables del tratamiento revisaron la jurisprudencia de las autoridades nacionales de control en las que opera el encargado del tratamiento para comprobar la existencia de posibles sanciones.

 Los responsables del tratamiento exigieron pruebas de adhesión a un código de conducta o certificación (esto no es estrictamente necesario, pero puede considerarse una buena práctica).

 Los responsables del tratamiento exigieron una prueba de certificación ISO pertinente (no es estrictamente necesario, pero puede considerarse una buena práctica).

 Si hay un encargado del tratamiento, los responsables del tratamiento exigieron una copia de los registros de las actividades de tratamiento.

 Los responsables del tratamiento preguntaron por el proceso de desarrollo de la herramienta, en particular por el tipo de datos que se utilizaron para la formación de la herramienta y por los datos que ésta necesita para funcionar y ofrecer un resultado útil.

 Los responsables del tratamiento comprobaron si la institución ya había designado un DPD.

 De no ser así, comprobaron con el departamento jurídico si las actividades de tratamiento de datos previstas requieren la designación de un DPD, ya sea consultando las interpretaciones autorizadas europeas, la normativa local, las interpretaciones autorizadas locales y la jurisprudencia nacional y europea pertinente.

 Los responsables del tratamiento exigieron la designación de un DPD si era necesario, y su participación en el proceso de desarrollo de la herramienta si era necesario.

 Como norma general, el DPD debe estar al tanto de cada paso que se dé para que pueda intervenir si lo considera pertinente.