Orientaciones sobre protección de datos – Pregunta 6
¿Cuándo y cómo debe llevarse a cabo una evaluación de impacto relativa a la protección de datos?
Aplicable a la hipótesis n.º 2, salvo en lo que se refiere a la utilización del servicio de intercambio de archivos de la Comisión.
Los representantes deben llevar a cabo una evaluación de impacto relativa a la protección de datos (EIPD) cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. Entre otras cosas, es especialmente necesaria en caso de tratamiento de datos sensibles a gran escala.
El Comité Europeo de Protección de Datos (CEPD) ha establecido unas orientaciones sobre la evaluación de impacto relativa a la protección de datos (EIPD). Los representantes también deben comprobar si la autoridad nacional competente en materia de protección de datos ha publicado más orientaciones sobre cuándo y cómo efectuar la EIPD.
La EIPD debe efectuarse antes del tratamiento y debe considerarse un instrumento dinámico, y no como un simple ejercicio aislado. Cuando existan riesgos residuales que no puedan atenuarse con las medidas establecidas, debe consultarse a la autoridad nacional competente en materia de protección de datos antes del inicio del tratamiento.
IMPORTANTE:
No es necesario efectuar una EIPD en caso de responsabilidad compartida con la Comisión, ya que el tratamiento ya está cubierto por la EIPD realizada por la Comisión (véase la hipótesis n.º 1).
Referencias:
- Artículo 35 del RGPD.
- Artículo 36 del RPDUE.
- Orientaciones sobre la evaluación de impacto relativa a la protección de datos del Comité Europeo de Protección de Datos