El RGPD exige una Evaluación de Impacto relativa a la Protección de Datos para todo tratamiento que pueda entrañar un riesgo elevado para los derechos y libertades de las personas. SYAGA DPIA-Express estructura y documenta su EIPD según la metodología del artículo 35 y las directrices del CEPD, sin improvisación y sin jerga.
Determinar si su tratamiento debe someterse a una EIPD, y luego realizarla conforme a las reglas
Todo tratamiento que pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas debe ser objeto de una Evaluación de Impacto relativa a la Protección de Datos antes de su puesta en marcha (RGPD, art. 35).
El CEPD (antiguo G29, directrices WP248 rev.01) definió 9 criterios de riesgo elevado. En cuanto un tratamiento cumple al menos dos de estos criterios, en principio debe realizarse una EIPD: basta con identificar mal un solo elemento para que el expediente quede incompleto.
La CNIL (autoridad francesa de protección de datos) publica listas de tratamientos para los que la EIPD es obligatoria o no. Determinar con precisión dónde se sitúa su tratamiento exige una lectura rigurosa, no una impresión general.
Realizar una EIPD con demasiada premura expone a la incompletud ante una autoridad de control; no realizarla cuando es obligatoria expone a la organización a un incumplimiento del artículo 35. El método CNIL estructura esta decisión y la documenta.
La estructura exigida por el artículo 35.7 del RGPD, aplicada a su tratamiento, con una conclusión motivada en cada etapa
Análisis frente a los 3 supuestos del artículo 35.3, la tabla de los 9 criterios del CEPD (WP248 rev.01) y las listas CNIL de tratamientos obligatorios o no obligatorios. Conclusión motivada, sea la EIPD finalmente obligatoria o no.
Finalidades, categorías de datos e interesados, destinatarios, plazos de conservación: la cartografía completa exigida por el artículo 35.7.a, coherente con su registro de actividades de tratamiento (art. 30).
Verificación de que cada dato recogido es necesario para la finalidad perseguida, de que la base jurídica (art. 6) está identificada para cada tratamiento, y de que se respeta el principio de minimización de datos (art. 5.1.c).
Para cada riesgo identificado: gravedad, probabilidad, medidas ya implantadas, riesgo residual, presentado en forma de tabla utilizable por su dirección o su DPO.
Medidas técnicas y organizativas previstas (art. 32), conclusión motivada y justificación documentada en virtud del principio de responsabilidad proactiva (accountability, art. 5.2), utilizable en caso de inspección de la CNIL.
Un documento estructurado, con fuentes, y honesto sobre lo que aún debe validar su asesor jurídico o su DPO
El documento completo siguiendo el artículo 35.7 (a a d), con una conclusión motivada.
El análisis previo que determina si su tratamiento entra en el ámbito de la obligación.
La EIPD se apoya en la misma base que su registro de actividades de tratamiento.
Cada punto de incertidumbre se señala explícitamente, nunca se decide en su lugar.
Cada afirmación jurídica está sustentada en fuentes, no afirmada de memoria.
Entregado en un formato editable, reutilizable por su DPO o su asesor jurídico.
Un método basado en los textos y las autoridades, no en interpretaciones propias
Evaluación de impacto relativa a la protección de datos. Texto consolidado del Reglamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
Los 9 criterios de riesgo elevado del CEPD (antiguo G29), adoptados por la CNIL como método de referencia para determinar la obligación de EIPD.
Listas de tratamientos para los que la EIPD es obligatoria o no, y método CNIL para realizar una evaluación de impacto.
Registro de actividades de tratamiento: la base de coherencia (finalidades, datos, plazos) en la que se apoya toda EIPD.
El alcance depende del número de tratamientos, de su complejidad y de lo que ya esté documentado en su organización. Presupuesto elaborado tras un primer contacto.
No sabe si su tratamiento está afectado
Tratamiento identificado de riesgo elevado
Varios tratamientos de riesgo por cubrir
Una EIPD nunca es definitiva
El artículo 35.11 del RGPD obliga a revisar el análisis en caso de cambio significativo del tratamiento (nuevo encargado del tratamiento, cambio de alojamiento, ampliación del alcance de la recogida). El presupuesto de revisión se establece caso por caso.
Descríbanos su tratamiento y nos pondremos en contacto con un presupuesto personalizado.