¿Quién es el responsable de llevar a cabo una EIPD?

“El responsable del tratamiento es el encargado de garantizar la realización de la EIPD (apartado 2 del artículo 35). La realización de la EIPD puede ser llevada a cabo por otra persona, dentro o fuera de la organización, pero el responsable del tratamiento sigue siendo el responsable último de esa tarea.”^[1] Obsérvese que el DPD debe ser consultado para una EIPD en calidad de asesor, pero nunca es responsable.

¿Quién debe participar en la realización de una EIPD?

A continuación, se ofrece en primer lugar una respuesta jurídica basada en el RGPD y, a continuación, una orientación adicional sobre quién puede tener que participar en el proceso de una evaluación de impacto.

Desde el punto de vista jurídico, el Grupo de Trabajo del Artículo 29 da el siguiente consejo autorizado:

• “El responsable del tratamiento también debe solicitar el asesoramiento del Delegado de Protección de Datos (DPD), cuando sea designado (apartado 2 del artículo 35) y este asesoramiento, así como las decisiones adoptadas por el responsable del tratamiento, deben documentarse en la EIPD. El DPD también debe supervisar la realización de la EIPD (artículo 39.1.c)”.^[2]
• “Si el tratamiento es realizado total o parcialmente por un encargado del tratamiento, éste deberá asistir al responsable del tratamiento en la realización de la EIPD y proporcionar toda la información necesaria (de acuerdo con el artículo 28.3.f).” ^[3]
• “El responsable del tratamiento debe “recabar la opinión de los interesados o de sus representantes” (artículo 35.9), “cuando proceda”. “^[4]Esto puede adoptar diversas formas en función del contexto, incluidos los estudios genéricos, la participación de representantes (como las organizaciones de consumidores) y las encuestas. El consentimiento no es una forma válida.

Más allá de estas participaciones exigidas por la ley, el Grupo de Trabajo del Artículo 29recomienda abarcar todas las disciplinas (conocimientos técnicos) y responsabilidades (decisiones) pertinentes^[5]. Esto puede suponer la participación tanto de personal interno como de expertos externos. Esto puede incluir, por ejemplo, lo siguiente:

• La unidad de negocio que utiliza la aplicación, instruye a los empleados afectados, toma decisiones sobre los períodos de almacenamiento, el control de acceso, etc.
• El departamento de Tecnología Informática que instala y opera la aplicación y ciertas medidas técnicas de mitigación (como, por ejemplo, cortafuegos o sistemas de copia de seguridad).
• El departamento de recursos humanos, que puede organizar campañas de sensibilización y formación, así como gestionar los acuerdos de confidencialidad con los empleados.
• El departamento jurídico que redacta las cláusulas contractuales específicas para transmitir las obligaciones a los transformadores.
• La casa de software que proporciona la aplicación y puede ofrecer actualizaciones (de seguridad), mantenimiento y evolución.

Tal y como indica explícitamente el Grupo de Trabajo del Artículo 29 para los DPD, se recomienda documentar las interacciones con las partes implicadas, el asesoramiento prestado y las decisiones tomadas en la EIPD. Se trata de un aspecto importante para demostrar la conformidad con el artículo 5, apartado 2, del RGPD.

 

 

1. wp248rev.01, página 14, sección III.D.b), primer párrafo ↑
2. wp248rev.01, página 15, sección III.D.b), primer párrafo, resaltado por los autores. ↑
3. wp248rev.01, página 15, sección III.D.b), segundo párrafo, resaltado por los autores. ↑
4. wp248rev.01, página 15, sección III.D.b), tercer párrafo, resaltado por los autores, comillas cambiadas para mejorar la legibilidad. ↑
5. wp248rev.01, página 15, sección III.D.b), segunda mitad de la página. ↑