¿Cuál es el papel del delegado de protección de datos en una evaluación de impacto?

De conformidad con el artículo 35, apartado 1, del RGPD es labor del responsable del tratamiento y no del delegado de protección de datos (DPD) realizar, cuando sea preciso, una evaluación de impacto de las operaciones de tratamiento de datos.

No obstante, el delegado de protección de datos (DPD) puede desempeñar un papel muy importante y útil a la hora de ayudar al responsable del tratamiento. Siguiendo el principio de la protección de datos desde el diseño, al artículo 35, apartado 2, establece específicamente que el responsable del tratamiento "recabará el asesoramiento" del DPD cuando realice una evaluación de impacto relativa a la protección de datos. A su vez, el artículo 39, apartado 1, letra c), impone al DPD la obligación de "ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35".

El Grupo de Trabajo del artículo 29 recomienda que el responsable del tratamiento busque el asesoramiento del DPD en las siguientes cuestiones, entre otras:

• si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos;
• qué metodología debe seguirse al llevar a cabo una evaluación de impacto;
• si debe realizarse la evaluación de impacto en la propia organización o subcontratarse;
• qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados.