Volver atrás

¿Qué debe incluir una EIPD?

A la hora de realizar una evaluación de impacto de la protección de datos (EIPD), se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD en su artículo 35.7, donde se establece que la EIPD deberá incluir como mínimo:

  • Una descripción sistemática de la actividad de tratamiento prevista
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
  • Una evaluación de los riesgos
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Para orientar al responsable en la realización de la EIPD, la AEPD ha elaborado la guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales que puede consultarse en el siguiente enlace: Gestión del riesgo y evaluación de impacto en tratamientos de datos personales

Además, la AEPD ha elaborado un modelo de informe de EIPD para el sector público y otro para el sector privado que pueden consultarse en los siguientes enlaces, modelos que pueden resultar de ayuda a la hora de reflejar el trabajo realizado en la EIPD: 

Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para Administraciones Públicas

Modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) para el Sector Privado

Al objeto de poder verificar si la EIPD se ajusta a lo indicado en la guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, la AEPD ha elaborado una lista de verificación que puede consultarse en el siguiente enlace: Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa

La EIPD debe entenderse como un proceso de mejora continua, de forma que ésta se revise siempre que se modifique o actualice cualquier aspecto relevante de las actividades de tratamiento. Ante cambios en la descripción del tratamiento o en la experiencia que muestre amenazas o riesgos desconocidos hasta entonces (los fines y medios), se debe realizar una nueva evaluación de impacto, generar un nuevo informe y un plan de acción con las nuevas medidas de control.

En caso de que los cambios sobre el tratamiento no sean significativos y, por tanto, no generen nuevas amenazas y riesgos sobre los derechos y libertades de los interesados, igualmente se debe realizar una valoración de los cambios producidos y documentar claramente la no necesidad de implantar nuevas medidas de control adicionales.
 

Déjanos tu valoración
Si tiene más dudas, consulte el resto de las preguntas de esta sección.

Si no encuentra respuesta, puede formularnos su consulta.

Enviar consulta