Servicios

Revisión de la evaluación

Los tratamientos de datos personales en su conjunto, o bien cada una de las operaciones de procesamiento de la información que conforman un tratamiento, pueden variar a lo largo del tiempo. Esos cambios en relación a la situación inicial de los tratamientos es evidente que pueden afectar a las medidas previstas para mitigar los riesgos, por ello deben preverse mecanismos de revisión de las evaluaciones.

Revisiones

El RGPD establece que el responsable del tratamiento deberá llevar a cabo una revisión de la vigencia de la evaluación realizada inicialmente, cuando se produzcan cambios relevantes en los tratamientos, especialmente si esos cambios pueden implicar una variación de los riesgos detectados o de las medida adoptadas, como por ejemplo: recogida de nuevos tipos de datos, migración de plataformas tecnológicas, nuevas aplicaciones, cambios en las medidas de seguridad, un mayor tiempo de retención de los datos, cambios normativos, etc.).

Incluso el GT29 va más allá, ya que estima que, aunque un tratamiento pudiera no haber requerido hacer la EIPD una vez llegada la fecha del 25 de mayo de 2018, “será necesario, en el momento oportuno, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva”, por tanto el responsable del tratamiento deberá prever mecanismos para revisar con una cierta periodicidad los riesgos que puedan suponer las operaciones de tratamiento, y si fuera el caso deberá llevar a cabo la EIPD.

El GT29 insiste en que el responsable del tratamiento debe gestionar los riesgos de sus actividades de tratamiento continuamente, por tanto revisándolos con regularidad, incluso de manera expresa advierte que: “los responsables del tratamiento no pueden eludir su responsabilidad cubriendo los riesgos con pólizas de seguros”. 

 

Directrices y recomendaciones del grupo de trabajo 29

Las directrices sobre la evaluación de impacto que detalla el grupo de trabajo del artículo 29 incluyen un apartado dedicado a conclusiones y recomendaciones, que se reproduce a continuación, ya que sintetizan los aspectos más relevantes de la regulación de las EIPD.

«Las EIPD son una forma útil de que los responsables del tratamiento apliquen sistemas de tratamiento de datos que cumplan con el RGPD y pueden ser obligatorias para determinados tipos de operaciones de tratamiento. Son escalables y pueden adoptar diferentes formas, pero el RGPD establece los requisitos básicos de una EIPD eficaz. Los responsables del tratamiento deben percibir la realización de una EIPD como una actividad útil y positiva que ayuda a cumplir con la legalidad.

El artículo 24, apartado 1, establece la obligación básica del responsable en términos de cumplimiento del RGPD: “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”.

La EIPD representa una parte fundamental del cumplimiento del Reglamento cuando se planifican o realizan operaciones de tratamiento de alto riesgo. Esto significa que los responsables del tratamiento deben usar los criterios establecidos en el presente documento para determinar si se debe realizar una EIPD. La política interna de los responsables del tratamiento puede ampliar esta lista más allá de los requisitos jurídicos del RGPD. Esto debe ofrecer una mayor confianza de los interesados u otros responsables del tratamiento.

Cuando se planifica un tratamiento que probablemente sea de alto riesgo, el responsable del mismo debe:

· elegir una metodología de EIPD que satisfaga los criterios del anexo 2 del documento, o especificar y aplicar un proceso sistemático de EIPD que:

- cumpla con los criterios del anexo 2;

- esté integrado en los procesos existentes de diseño, desarrollo, cambio, riesgo y revisión del funcionamiento de acuerdo con los procesos internos, el contexto y la cultura;

- implique a las partes interesadas apropiadas y defina claramente sus responsabilidades (responsable, delegado de protección de datos, interesados o sus representantes, empresas, servicios técnicos, encargados, responsable de la seguridad de la información, etc.);

- ofrecer un informe relativo a la EIPD a la autoridad de control competente cuando sea necesario hacerlo;

- consultar a la autoridad de control cuando no consiga determinar medidas suficientes para mitigar los altos riesgos;

- examinar periódicamente la EIPD y el tratamiento que esta evalúa, al menos cuando se produzca un cambio del riesgo que representa el tratamiento de la operación;

- documentar las decisiones que se tomen.»