¿En qué momento hay que realizar/actualizar la EIPD?
Home » RGPD » Principales herramientas y acciones » Evaluación de Impacto relativa a la Protección de Datos (EIPD)  » ¿En qué momento hay que realizar/actualizar la EIPD?

En cualquier caso, si es probable que exista un riesgo elevado, debe realizarse una EIPD antes del tratamiento (artículo 35, apartado 1, del RGPD). Esto constituye una salvaguardia que garantiza que el tratamiento que implica un alto riesgo no puede realizarse, a menos que los riesgos se hayan identificado y mitigado suficientemente.

Como ya se ha dicho (véase más arriba Qué es una EIPD), una EIPD es un proceso continuo que orienta el diseño y la ejecución de una actividad de tratamiento. Para orientar con éxito las decisiones y garantizar el cumplimiento del RGPD, es evidente que “la EIPD debe iniciarse tan pronto como sea posible en el diseño de la operación de tratamiento, incluso si algunas de las operaciones de tratamiento son aún desconocidas. La actualización de la EIPD a lo largo del ciclo de vida [del] proyecto garantizará que se tengan en cuenta la protección de datos y la privacidad y fomentará la creación de soluciones que promuevan el cumplimiento.”[1] Este enfoque es evidentemente exigido por la obligación de protección de datos desde el diseño (artículo 25, apartado 1, del RGPD).

El proceso de una EIPD tampoco se da por concluido una vez que se ha iniciado el tratamiento. Más bien, “[c]uando sea necesario, el responsable del tratamiento llevará a cabo una revisión para evaluar si el tratamiento se realiza de conformidad con la [EADP] al menos cuando se produzca un cambio en el riesgo que representan las operaciones de tratamiento”. (Artículo 35(11) del RGPD). Hay varios factores que pueden cambiar el riesgo, entre ellos los siguientes:

  • La actividad de procesamiento cambia,
  • la eficacia de las medidas de mitigación cambia.

En el primer caso, un cambio podría estar causado por un cambio en el uso previsto de los datos (nuevos fines del tratamiento), cambios en el alcance de la recopilación y el tratamiento de datos, cambios en el número de personas afectadas (por ejemplo, debido al éxito de la actividad), un cambio en el software de la aplicación (por ejemplo, una nueva versión con funcionalidad adicional), un cambio en la infraestructura técnica (por ejemplo, una migración a la nube) o un cambio en la situación legal (por ejemplo, una decisión judicial que afecta a la interpretación del RGPD).

En este último caso, un cambio podría estar causado por el descubrimiento de nuevas vulnerabilidades en las medidas de mitigación (por ejemplo, vulnerabilidades de software), un aumento de las amenazas y la capacidad de los hackers (por ejemplo, nuevos métodos para reidentificar datos seudónimos o anónimos), o un cambio organizativo que amenace la eficacia de las medidas (por ejemplo, nuevo personal que no es consciente de lo que se puede revelar).

 

 

  1. wp248rev.01, página 14, sección III.D.a), segundo párrafo, el subrayado y el texto entre paréntesis han sido añadidos por los autores.

 

Ir al contenido