¿Quién debe realizar una Evaluación de Impacto y a quién se debe involucrar?
Corresponde al responsable del tratamiento la obligación de realizar la evaluación de impacto de la protección de datos (EIPD), y no al Delegado de Protección de Datos.
Desde un punto de vista práctico, existen varias figuras, con diferentes roles y responsabilidades, que pueden participar en la realización de una EIPD, entre estas figuras, la figura del DPD supone un valor añadido en el desarrollo de una EIPD aportando garantías para los derechos y libertades de los interesados.
La obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el Delegado de Protección de Datos. Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento pueden ser requeridas durante el proceso de evaluación.
En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.
Finalmente, el RGPD prevé que cuando resulte procedente se deberá recabar la opinión de los interesados o de sus representantes, sin perjuicio de que se adopten las medidas necesarias para proteger intereses comerciales o de negocio.
Si no encuentra respuesta, puede formularnos su consulta.