¿Qué debe incluir una Evaluación de Impacto de la Protección de Datos?

A la hora de realizar una evaluación de impacto de la protección de datos (EIPD), se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD en su artículo 35.7, donde se establece que la EIPD deberá incluir como mínimo:

• Una descripción sistemática de la actividad de tratamiento previstas
• Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
• Una evaluación de los riesgos
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Además, debe tenerse en consideración lo siguiente:

1. Contexto:
   1. Describir el ciclo de vida de los datos: Descripción detallada del ciclo de vida y del flujo de datos en el tratamiento. Identificación de los datos tratados, intervinientes, terceros, sistemas implicados y cualquier elemento relevante que participe en la actividad de tratamiento.
   2. Analizar la necesidad y proporcionalidad del tratamiento: Análisis de la base de legitimación, la finalidad y la necesidad y proporcionalidad del tratamiento que se pretenden llevar a cabo.
2. Gestión de riesgos:
   1. Identificar amenazas y riesgos: Identificación de las amenazas y riesgos potenciales a los que están expuestos las actividades de tratamiento.
   2. Evaluar los riesgos: Evaluación de la probabilidad y el impacto de que se materialicen los riesgos a los que está expuesta la organización.
   3. Tratar los riesgos: Respuesta ante los riesgos identificados con el objetivo de minimizar la probabilidad y el impacto de que estos se materialicen hasta un nivel de riesgo aceptable que permita garantizar los derechos y libertades de las personas físicas.
3. Conclusión y validación: Plan de acción y conclusiones:
   Informe de conclusiones de la EIPD donde se documente el resultado obtenido junto con el plan de acción que incluya las medidas de control a implantar para gestionar los riesgos identificados y poder garantizar los derechos y libertades de las personas físicas y, si procede, el resultado de la consulta previa a la autoridad de control a la que se refiere el artículo 36 del RGPD.

Adicionalmente a las fases que componen una EIPD, es recomendable que exista un proceso de supervisión y revisión de la implantación o puesta en marcha del nuevo tratamiento con el objetivo de garantizar la implantación de las medidas de control descritas en el Plan de acción.

La EIPD debe entenderse como un proceso de mejora continua, de forma que esta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento.

Ante cambios en la descripción del tratamiento o en la experiencia que muestre amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control.

En caso de que los cambios sobre el tratamiento no sean significativos, y no generen por tanto nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.