Serveis
Revisió de l'avaluació
Revisions
El RGPD estableix que el responsable del tractament ha de dur a terme una revisió de la vigència de l'avaluació realitzada inicialment, quan es produeixin canvis rellevants als tractaments, especialment si aquests canvis poden implicar una variació dels riscos detectats o de les mesura adoptades, com ara: recollida de nous tipus de dades, migració de plataformes tecnològiques, noves aplicacions, canvis en les mesures de seguretat, un major temps de retenció de les dades, canvis normatius, etc.).
Fins i tot el GT29 va més enllà, ja que estima que, encara que un tractament pogués no haver requerit fer la EIPD un cop arribada la data del 25 de maig del 2018, "serà necessari, en el moment oportú, que el responsable del tractament dugui a terme una avaluació d'aquest tipus com a part de les seves obligacions generals de responsabilitat proactiva ", per tant el responsable del tractament ha de preveure mecanismes per revisar amb una certa periodicitat els riscos que puguin suposar les operacions de tractament, i si fos el cas haurà de dur a terme la EIPD.
El GT29 insisteix en que el responsable del tractament ha de gestionar els riscos de les seves activitats de tractament contínuament, per tant revisant-los amb regularitat, fins i tot de manera expressa adverteix que: "els responsables del tractament no poden eludir la seva responsabilitat cobrint els riscos amb pòlisses d'assegurances" .
Directrius i recomanacions del grup de treball 29
Les directrius sobre l'avaluació d'impacte que detalla el grup de treball de l'article 29 inclouen un apartat dedicat a conclusions i recomanacions, que es reprodueix a continuació, ja que sintetitzen els aspectes més rellevants de la regulació de les EIPD.
«Las EIPD son una forma útil de que los responsables del tratamiento apliquen sistemas de tratamiento de datos que cumplan con el RGPD y pueden ser obligatorias para determinados tipos de operaciones de tratamiento. Son escalables y pueden adoptar diferentes formas, pero el RGPD establece los requisitos básicos de una EIPD eficaz. Los responsables del tratamiento deben percibir la realización de una EIPD como una actividad útil y positiva que ayuda a cumplir con la legalidad.
El artículo 24, apartado 1, establece la obligación básica del responsable en términos de cumplimiento del RGPD: “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”.
La EIPD representa una parte fundamental del cumplimiento del Reglamento cuando se planifican o realizan operaciones de tratamiento de alto riesgo. Esto significa que los responsables del tratamiento deben usar los criterios establecidos en el presente documento para determinar si se debe realizar una EIPD. La política interna de los responsables del tratamiento puede ampliar esta lista más allá de los requisitos jurídicos del RGPD. Esto debe ofrecer una mayor confianza de los interesados u otros responsables del tratamiento.
Cuando se planifica un tratamiento que probablemente sea de alto riesgo, el responsable del mismo debe:
· elegir una metodología de EIPD que satisfaga los criterios del anexo 2 del documento, o especificar y aplicar un proceso sistemático de EIPD que:
- cumpla con los criterios del anexo 2;
- esté integrado en los procesos existentes de diseño, desarrollo, cambio, riesgo y revisión del funcionamiento de acuerdo con los procesos internos, el contexto y la cultura;
- implique a las partes interesadas apropiadas y defina claramente sus responsabilidades (responsable, delegado de protección de datos, interesados o sus representantes, empresas, servicios técnicos, encargados, responsable de la seguridad de la información, etc.);
- ofrecer un informe relativo a la EIPD a la autoridad de control competente cuando sea necesario hacerlo;
- consultar a la autoridad de control cuando no consiga determinar medidas suficientes para mitigar los altos riesgos;
- examinar periódicamente la EIPD y el tratamiento que esta evalúa, al menos cuando se produzca un cambio del riesgo que representa el tratamiento de la operación;
- documentar las decisiones que se tomen.»