¿Qué puede facilitar la realización de una EIPD?
Home » RGPD » Principales herramientas y acciones » Evaluación de Impacto relativa a la Protección de Datos (EIPD)  » ¿Qué puede facilitar la realización de una EIPD?

A continuación, se enumeran algunas formas que podrían facilitar la realización de una EIPD.

  • En algunos casos en los que el tratamiento tiene una base jurídica basada en el Derecho de la Unión o de los Estados miembros (es decir, el artículo 6, apartado 1, letras c) o e) del RGPD), es posible que el legislador ya haya realizado una EIPD. En este caso, a menos que un Estado miembro considere necesaria una EIPD por parte de cada responsable del tratamiento, o a menos que la legislación deje un margen significativo de aplicación al responsable del tratamiento que afecte a los riesgos para los interesados, la EIPD no tiene que ejecutarse (véase el artículo 35, apartado 10, del RGPD para más detalles).
    • Un ejemplo lo encontramos en la legislación[1] austriaca sobre “organizaciones de investigación”, que ya prevé la realización de EIPD[2] en sus artículos.
  • “Hay circunstancias en las que puede ser razonable y económico que el objeto de una evaluación de impacto sobre la protección de datos sea más amplio que un solo proyecto” (considerando 90 del RGPD). Obviamente, esto facilita las actividades de tratamiento único que pueden remitirse a la ” EIPD amplia”. Esto se confirma además en el artículo 35, apartado 1, que establece: “Una única evaluación podrá referirse a un conjunto de operaciones de tratamiento similares que presenten riesgos elevados similares”. El Grupo de Trabajo del Artículo 29 ofrece aquí una orientación[3] adicional al afirmar que “[una] única EIPD podría utilizarse para evaluar múltiples operaciones de tratamiento que sean similares en términos de naturaleza, alcance, contexto, finalidad y riesgos“. Además, afirma que “la EIPD tiene por objeto estudiar sistemáticamente las nuevas situaciones que podrían entrañar riesgos elevados para los derechos y las libertades de las personas físicas, y no es necesario realizar una EIPD en los casos (es decir, las operaciones de tratamiento realizadas en un contexto y con una finalidad específicos) que ya se han estudiado“. En estos casos, es posible recurrir a la ” EIPD amplia” o al menos delegar en ella partes importantes de una EIPD individual. Si no se dispone de una “EIPD amplia”, aún pueden existir EIPD individuales de actividades de tratamiento similares que ayuden a realizar una propia.
  • El Grupo de Trabajo afirma que “una EIPD también puede ser útil para evaluar el impacto en la protección de datos de un producto tecnológico[4]. Por lo tanto, si un proveedor de tecnología ya ha realizado una EIPD, “el responsable del tratamiento de datos que despliega el producto sigue estando obligado a realizar su propia EIPD en relación con la aplicación específica, pero ésta puede basarse en una EIPD preparada por el proveedor del producto”.
  • El Grupo de Trabajo señala la posibilidad de que la EIPD se vea facilitada por la existencia de un marco de EIPD sectorial: “El Grupo de Trabajo 29 fomenta el desarrollo de marcos de EIPD específicos del sector. Esto se debe a que pueden basarse en conocimientos sectoriales específicos, lo que significa que la EIPD puede abordar las especificidades de un tipo concreto de operación de tratamiento (por ejemplo: tipos particulares de datos, activos corporativos, impactos potenciales, amenazas, medidas).”[5]
  • Otra forma posible de facilitar la EIPD es aprovechar los enfoques sistemáticos que se utilizan en múltiples actividades de tratamiento. El artículo 24, apartado 2, ofrece el ejemplo de las “políticas de protección de datos” en toda la empresa. El artículo 24, apartado 3, añade la “certificación aprobada” (según el artículo 42 del RGPD) y los “códigos de conducta aprobados” (según el artículo 40 del RGPD). Este último también se menciona específicamente en el artículo 35, apartado 8, del RGPD.

 

 

  1. véase la Ley federal sobre todos los derechos generales de los ciudadanos, según el artículo 89 de la DSGVO, y la organización de investigación (FOG). 89 DSGVO y la organización de investigación (Forschungsorganisationsgesetz – FOG)

    StF: BGBl. Nr. 341/1981 idF BGBl. Nr. 448/1981 (DFB) (NR: GP XV RV 214 AB 778 S. 81. BR: S. 413.), en alemán, https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10009514 (última visita: 30/01/2020).

  2. Véanse los apéndices 4 a 21.
  3. wp248rev.01, página 7, Sección III. A., 2 ndpárrafo, resaltado añadido por los autores.
  4. wp248rev.01, página 8, sección III. A., 2 ndpárrafo.
  5. wp248rev.01, página 17, Sección III. D.c) .,2°nd párrafo.

 

Ir al contenido