Agencia Española de Protección de Datos

Nueva herramienta de la Agencia Española de Protección de Datos para los responsables de tratamiento: Lista de verificación para la adecuación formal en la realización de evaluaciones de impacto (35.7 RGPD)

Dentro de las herramientas accesibles a través de su web, la Agencia Española de Protección de Datos acaba de incluir un nuevo recurso de apoyo a aquellos responsables de tratamiento que, de conformidad con el artículo 35 RGPD –art. 28 LOPDGDD-, hayan de llevar a cabo una evaluación de impacto en los supuestos en que dicho tratamiento pueda deparar un alto riesgo para los derechos y libertades personales.

A través de la lista de verificación hecha pública hace escasos días por la AEPD, los responsables se ven facultados para efectuar, por sí mismos, un primer control sobre las exigencias normativas implicadas, operando a modo de recuento de los requisitos formales tasados para la válida realización y documentación de una evaluación de impacto –art. 35.7 RGPD-. 

En todo caso se recalca desde la AEPD que este nuevo recurso no puede equipararse “a llevar a cabo una EIPD, ni tampoco constituye el informe de la EIPD. Es decir, la lista de verificación no supone una gestión de riesgo y su elaboración no reemplaza la documentación de una EIPD. En consecuencia dicha lista deberá complementarse con la “Guía para la gestión del riesgo y evaluación de impacto en tratamientos de datos personales” aprobada por la AEPD en junio del año pasado.

La lista elaborada por la AEPD comprende la verificación de los contenidos que debe abarcar la evaluación de impacto en el contexto de una consulta previa, en esencia:

  1. Requisitos generales para esa consulta.
  2. Requisitos sobre el Delegado de Protección de Datos.
  3. Identificación del tratamiento y de los intervinientes.
  4. Actualización de una consulta previa.
  5. Contexto del tratamiento y de la evaluación de impacto.
  6. Adecuación del tratamiento al Reglamento General de Protección de Datos.
  7. Existencia de una descripción sistemática de la operación de tratamiento.
  8. Existencia de la obligación y necesidad de realizar la Evaluación de impacto. 
  9. Análisis de la gestión del riesgo sobre los derechos y libertades personales. 
  10. Consideraciones de los afectados respecto al tratamiento proyectado. 
  11. Valoración sobre la idoneidad, necesidad y proporcionalidad de ese tratamiento. 
  12. Potencial revisión de la Evaluación de impacto. 
  13. Indicación sobre el conocimiento por la Autoridad de Control de toda la documentación que garantice que la información aportada es completa y exacta.
  14. Observancia de los requisitos establecidos en la remisión de la consulta previa.

Esta lista de verificación contribuirá, en buena medida, a agilizar la labor de la Agencia en la tramitación y resolución de las eventuales consultas previas que se le puedan elevar, una vez constatado por el responsable la efectiva existencia de riesgos tras llevar a cabo la evaluación de impacto, de conformidad con el artículo 36 RGPD. 

Una función consultiva a la que ha dado desarrollo mediante su reciente Instrucción 1/2021, de 2 de noviembre, con la que se persigue primeramente ceñir su actividad al principio de responsabilidad proactiva de los responsables –principio proclamado en el artículo 5.2 RGPD, verdadero corolario de los principios vertebradores del tratamiento de datos personales-, y de modo paralelo dar aplicabilidad al principio de competencia administrativa mediante el cumplimiento de los cometidos que, en cuanto Autoridad de control en materia de protección de datos, le vienen encomendados a la luz del catálogo funcional desgranado en el artículo 57 RGPD.

https://www.aepd.es/es/documento/lista-verificacion-eipd-consulta-previa.docx

Roberto Antonio Sánchez Lucena
DPO&itlaw (Integrado en Club Legal)