Valoración de impacto relativa a la protección de datos según el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 19/06/2018

Según el apdo. 7, art. 35, RGPD, la evaluación de impacto relativa a la protección de datos deberá incluir como mínimo:

  • a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
  • b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
  • c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, art. 35, RGPD y
  • d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

La realización de una EIPD requerirá la utilización de una metodología que permita cumplir los requerimientos mínimos exigidos por el Reglamento. Pues bien, este contenido esencial se encuentra regulado en el artículo 35.7, RGPD, que expresamente señala:

«La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1,

y d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.»

Asimismo, en el caso de que a los tratamientos evaluados se les aplicase un código de conducta, su cumplimiento también debe ser objeto de la evaluación, en tanto el código incluya previsiones sobre las evaluaciones de impacto.

La valoración del impacto tiene por objeto –en esencia- hacer la valoración de la necesidad y proporcionalidad de las operaciones de tratamiento. En este sentido, resulta necesario atender a lo dispuesto en el considerando 39 del RGPD: «Los datos personales sólo se deben tratar si la finalidad del tratamiento no se puede hacer razonablemente por otros medios».

Pue bien sobre la valoración del resultado atendiendo a los dos criterios señalados la AEPD ha indicado que :

En cuanto a determinar la necesidad de llevar a cabo un tratamiento, el concepto no se tiene que interpretar de una manera demasiado amplia, ya que esto puede llevarnos a la conclusión de que el tratamiento es necesario en todos los casos, puesto que da respuesta o está vinculado a un objetivo relacionado con la actividad del responsable del tratamiento; tampoco se tiene que abordar con exceso de literalidad, ya que complicaría la justificación del tratamiento.

Respecto de la finalidad del tratamiento, se deben recordar los elementos esenciales, es decir: las finalidades tienen que estar definidas de manera determinada, explícita y legítima. Así mismo, debemos tener en cuenta lo que recoge el considerando 39 del RGPD: «Cualquier tratamiento de datos personales tiene que ser lícito y leal»; por lo tanto, el punto de partida será que la finalidad se ajuste a estos requisitos. En todo caso, se debe determinar si se cumple el requisito de necesidad, tanto en relación a la actividad del responsable del tratamiento como en relación a la finalidad del mismo tratamiento.

No hay versiones para este comentario

Actividades de tratamiento de datos
Interés legitimo
Protección de datos
Responsable del tratamiento
Evaluación de impacto en protección de datos
Datos personales
Evaluación de riesgos
Medidas de seguridad
Código de conducta
Tratamiento de datos personales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Fecha última revisión: 18/06/2018

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

  • Responsabilidad del responsable del tratamiento de datos en el RGPD.

    Orden: Administrativo Fecha última revisión: 19/06/2018

    La responsabilidad del responsable del tratamiento se especifica en el art. 42, ;RGPD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Registro de actividades de tratamiento datos en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Una de las novedades que presenta el nuevo RGPD es la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados