Una EIPD no siempre es obligatoria en el caso del desarrollo de la IdC(véase la subsección “¿En qué casos debo realizar una EIPD?” dentro de “Evaluación del impacto de la protección de datos”, “Principales herramientas y acciones”, Parte II de estas Directrices). Depende de si los riesgos asociados al tratamiento son elevados o no, según el artículo 35, apartado 3, del RGPD. Sin embargo, es muy recomendable ya que apoya la responsabilidad. Por ejemplo, la EIPD es obligatoria si el tratamiento implica un seguimiento sistemático de una zona de acceso público a gran escala, o si está destinado a evaluar o puntuar a poblaciones vulnerables. En cualquier caso, el Grupo de Trabajo del Artículo 29 incluyó algunos criterios fundamentales en sus Directrices sobre la evaluación de impacto de la protección de datos (EIPD) y la determinación de si el tratamiento es “probable que dé lugar a un alto riesgo” a los efectos del Reglamento 2016/679^[1].

En caso de duda, se recomienda encarecidamente consultar a la autoridad de control competente antes del tratamiento (véase la sección “Evaluación del impacto de la protección de datos” de las “Principales herramientas y acciones”, Parte II de estas Directrices).

La CNIL ha creado una excelente herramienta destinada a asesorar sobre cómo realizar una Evaluación^[2] de Impacto sobre la Privacidad, que incluye un consejo práctico y bien diseñado. Su consulta es muy recomendable: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf

Lista de control Verifique si necesita realizar una EIPD para su actividad de tratamiento. Documente esta verificación (independientemente de que sea afirmativa o no). Si es necesaria una EIPD: Empezar lo antes posible (siguiendo el principio de la protección de datos por diseño). Obtenga una visión general de lo que es una EIPD. Utilice, siempre que sea posible, las orientaciones y plantillas facilitadas por la Autoridad de Supervisión de Protección de Datos competente. Si no es así (su APD no proporciona dicho material o usted tiene que atender a muchos ámbitos de competencia de diferentes APD), siga las orientaciones proporcionadas por el Grupo de Trabajo del Artículo 29 en wp248rev.01. Reunir el equipo necesario para realizar la EIPD. Considere la posibilidad de facilitar su trabajo.

1. Grupo de Trabajo del Artículo 29, Directrices sobre la evaluación de impacto de la protección de datos (DPIA) y la determinación de si el tratamiento es “probable que dé lugar a un alto riesgo” a efectos del Reglamento 2016/679, Adoptado el 4 de abril de 2017 Como último revisado y adoptado el 4 de octubre de 2017, en: https://ec.europa.eu/newsroom/article29/items/611236/en . ↑
2. CNIL, Evaluación del impacto sobre la privacidad. Aplicación a los dispositivos IoT. Febrero de 2019. En: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf ↑