• Verifique si necesita realizar una EIPD para su actividad de tratamiento.
  • Véase más abajo ¿En qué casos debo realizar una EIPD?
• Documente esta verificación (independientemente de que sea afirmativa o no).

Si es necesaria una EIPD:

• Empezar lo antes posible (siguiendo el principio de la protección de datos por diseño).
  • Consulte a continuación en qué momento es necesario realizar/actualizar la EIPD.
• Obtenga una visión general de lo que es una EIPD. Véase más abajo:
  • ¿Qué es una EIPD?
  • ¿Cuáles son los objetivos de una EIPD?
  • ¿A qué público va dirigido un informe de EIPD?
  • Quién es el responsable de llevar a cabo una EIPD a continuación
  • ¿Qué pasa si no lo llevo a cabo?
• Utilice, siempre que sea posible, las orientaciones y plantillas facilitadas por la Autoridad de Supervisión de Protección de Datos (DPA) competente.
• Si no es así (su APD no proporciona dicho material o tiene que atender a muchos ámbitos de competencia de diferentes APD), siga las orientaciones proporcionadas por el Grupo de Trabajo de Protección de Datos del Artículo 29 en wp248rev.01.
  • Véase más abajo la sección “Lecturas complementarias”.
  • Véase ¿Existe un método estandarizado para llevar a cabo una EIPD? para obtener una visión general y ayuda para interpretar el WP248rev.01.
• Reunir el equipo necesario para realizar la EIPD.
  • Véase más abajo Quién debe participar en la realización de una EIPD.
• Considere la posibilidad de facilitar su trabajo.
  • Véase más abajo Qué puede facilitar la realización de una EIPD.

• Empiece a trabajar en la EIPD lo antes posible.
• Destacar y documentar el proceso (continuo), no sólo el resultado (informe).
• Utilice la EIPD como herramienta de decisión para usted.
• Implicar al DPD y a todas las demás partes obligatorias.
• Centrarse en medidas técnicas y organizativas que reduzcan los riesgos a un nivel aceptable.
• Implementar un calendario para revisar y actualizar la EIPD cuando sea necesario

• No confunda la EIPD con la gestión de riesgos de seguridad informática.
• No considere los riesgos para su organización y sus activos; considere los riesgos para los interesados y otras personas físicas que se ven afectadas por su tratamiento.
• No entienda el riesgo como un acontecimiento indeseable (como un atentado o una catástrofe natural); considere su tratamiento como fuente de riesgo, incluso si todo sale como está previsto.

• Orientación y plantillas proporcionadas posiblemente por su Autoridad de Supervisión de Protección de Datos competente, que es el principal destinatario de la EIPD. (Lo que está disponible exactamente depende de su ubicación)
• WP248rev.01, Grupo de Trabajo de Protección de Datos del Artículo 29, Directrices sobre la evaluación de impacto de la protección de datos (EIPD) y la determinación de si el tratamiento es “probable que dé lugar a un alto riesgo” a los efectos del Reglamento 2016/679, Adoptado el 4 de abril de 2017, Tal como fue revisado y adoptado por última vez el 4 de octubre de 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (última visita el 14/01/2020).