Navegaci贸n
RGPD > Art铆culo聽35. Evaluaci贸n de impacto relativa a la protecci贸n de datos
Descargar PDF

Art铆culo聽35 RGPD. Evaluaci贸n de impacto relativa a la protecci贸n de datos

Article 35 GDPR. Data protection impact assessment

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnolog铆as, por su naturaleza, alcance, contexto o fines, entra帽e un alto riesgo para los derechos y libertades de las personas f铆sicas, el responsable del tratamiento realizar谩, antes del tratamiento, una evaluaci贸n del impacto de las operaciones de tratamiento en la protecci贸n de datos personales. Una 煤nica evaluaci贸n podr谩 abordar una serie de operaciones de tratamiento similares que entra帽en altos riesgos similares.

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization鈥檚 role in providing assistance with the customer鈥檚 obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):


para acceder al texto completo

Textos enlazados

2. El responsable del tratamiento recabar谩 el asesoramiento del delegado de protecci贸n de datos, si ha sido nombrado, al realizar la evaluaci贸n de impacto relativa a la protecci贸n de datos.

2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.

3. La evaluaci贸n de impacto relativa a la protecci贸n de los datos a que se refiere el apartado聽1 se requerir谩 en particular en caso de:

3. A data protection impact assessment referred to in paragraph聽1 shall in particular be required in the case of:

a) evaluaci贸n sistem谩tica y exhaustiva de aspectos personales de personas f铆sicas que se base en un tratamiento automatizado, como la elaboraci贸n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur铆dicos para las personas f铆sicas o que les afecten significativamente de modo similar;

(a)聽a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

b) tratamiento a gran escala de las categor铆as especiales de datos a que se refiere el art铆culo聽9, apartado聽1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10,聽o

(b)聽processing on a large scale of special categories of data referred to in Article聽9(1), or of personal data relating to criminal convictions and offences referred to in Article聽10; or

Textos enlazados

c) observaci贸n sistem谩tica a gran escala de una zona de acceso p煤blico.

(c)聽a systematic monitoring of a publicly accessible area on a large scale.

4. La autoridad de control establecer谩 y publicar谩 una lista de los tipos de operaciones de tratamiento que requieran una evaluaci贸n de impacto relativa a la protecci贸n de datos de conformidad con el apartado聽1. La autoridad de control comunicar谩 esas listas al Comit茅 a que se refiere el art铆culo聽68.

4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph聽1. The supervisory authority shall communicate those lists to the聽Board referred to in Article 68.

Textos enlazados

5. La autoridad de control podr谩 asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protecci贸n de datos. La autoridad de control comunicar谩 esas listas al Comit茅.

5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board.

6. Antes de adoptar las listas a que se refieren los apartados聽4 y聽5, la autoridad de control competente aplicar谩 el mecanismo de coherencia contemplado en el art铆culo聽63 si esas listas incluyen actividades de tratamiento que guarden relaci贸n con la oferta de bienes o servicios a interesados o con la observaci贸n del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulaci贸n de datos personales en la Uni贸n.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article聽63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member聽States, or may substantially affect the free movement of personal data within the Union.

Textos enlazados

7. La evaluaci贸n deber谩 incluir como m铆nimo:

7. The assessment shall contain at least:

a) una descripci贸n sistem谩tica de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el inter茅s leg铆timo perseguido por el responsable del tratamiento;

(a)聽a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

b) una evaluaci贸n de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

(b)聽an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

c) una evaluaci贸n de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado聽1,聽y

(c)聽an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph聽1; and

d) las medidas previstas para afrontar los riesgos, incluidas garant铆as, medidas de seguridad y mecanismos que garanticen la protecci贸n de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses leg铆timos de los interesados y de otras personas afectadas.

(d)聽the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

8. El cumplimiento de los c贸digos de conducta aprobados a que se refiere el art铆culo聽40 por los responsables o encargados correspondientes se tendr谩 debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluaci贸n de impacto relativa a la protecci贸n de datos.

8. Compliance with approved codes of conduct referred to in Article聽40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.

9. Cuando proceda, el responsable recabar谩 la opini贸n de los interesados o de sus representantes en relaci贸n con el tratamiento previsto, sin perjuicio de la protecci贸n de intereses p煤blicos o comerciales o de la seguridad de las operaciones de tratamiento.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


para acceder al texto completo

10. Cuando el tratamiento de conformidad con el art铆culo聽6, apartado聽1, letras聽c) o聽e), tenga su base jur铆dica en el Derecho de la Uni贸n o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operaci贸n espec铆fica de tratamiento o conjunto de operaciones en cuesti贸n, y ya se haya realizado una evaluaci贸n de impacto relativa a la protecci贸n de datos como parte de una evaluaci贸n de impacto general en el contexto de la adopci贸n de dicha base jur铆dica, los apartados聽1 a聽7 no ser谩n de aplicaci贸n excepto si los Estados miembros consideran necesario proceder a dicha evaluaci贸n previa a las actividades de tratamiento.

10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member聽State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs聽1 to 7 shall not apply unless Member聽States deem it to be necessary to carry out such an assessment prior to processing activities.

Textos enlazados

11. En caso necesario, el responsable examinar谩 si el tratamiento es conforme con la evaluaci贸n de impacto relativa a la protecci贸n de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.


para acceder al texto completo

Considerandos

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(85) 袧邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 械褋谢懈 芯薪芯 薪械 斜褘谢芯 薪邪写谢械卸邪褖懈屑 芯斜褉邪蟹芯屑 懈 胁芯胁褉械屑褟 褍褋褌褉邪薪械薪芯, 屑芯卸械褌 锌芯胁谢械褔褜 褎懈蟹懈褔械褋泻懈泄, 屑邪褌械褉懈邪谢褜薪褘泄 懈谢懈 屑芯褉邪谢褜薪褘泄 胁褉械写 褎懈蟹懈褔械褋泻懈屑 谢懈褑邪屑, 泻邪泻, 薪邪锌褉懈屑械褉, 锌芯褌械褉褟 泻芯薪褌褉芯谢褟 薪邪写 懈褏 锌械褉褋芯薪邪谢褜薪褘屑懈 写邪薪薪褘屑懈 懈谢懈 芯谐褉邪薪懈褔械薪懈械 懈褏 锌褉邪胁, 写懈褋泻褉懈屑懈薪邪褑懈褟, 泻褉邪卸邪 谢懈褔薪芯褋褌懈 懈谢懈 械械 屑芯褕械薪薪懈褔械褋泻芯械 懈褋锌芯谢褜蟹芯胁邪薪懈械, 褎懈薪邪薪褋芯胁褘械 锌芯褌械褉懈, 薪械褋邪薪泻褑懈芯薪懈褉芯胁邪薪薪邪褟 锌芯胁褌芯褉薪邪褟 懈写械薪褌懈褎懈泻邪褑懈褟 锌褋械胁写芯薪懈屑懈蟹懈褉芯胁邪薪薪褘褏 写邪薪薪褘褏, 褍褖械褉斜 褉械锌褍褌邪褑懈懈, 薪邪褉褍褕械薪懈械 泻芯薪褎懈写械薪褑懈邪谢褜薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 蟹邪褖懈褖械薪薪褘褏 锌褉芯褎械褋褋懈芯薪邪谢褜薪芯泄 褌邪泄薪芯泄, 懈谢懈 谢褞斜芯泄 写褉褍谐芯泄 蟹薪邪褔懈褌械谢褜薪褘泄 褝泻芯薪芯屑懈褔械褋泻懈泄 懈谢懈 褋芯褑懈邪谢褜薪褘泄 胁褉械写, 薪邪薪械褋械薪薪褘泄 褎懈蟹懈褔械褋泻芯屑褍 谢懈褑褍. 袩芯褝褌芯屑褍, 泻邪泻 褌芯谢褜泻芯 泻芯薪褌褉芯谢褢褉褍 褋褌邪薪芯胁懈褌褋褟 懈蟹胁械褋褌薪芯 芯 薪邪褉褍褕械薪懈懈 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏, 芯薪 芯斜褟蟹邪薪 褍胁械写芯屑懈褌褜 芯 褌邪泻芯屑 薪邪褉褍褕械薪懈懈 薪邪写蟹芯褉薪褘泄 芯褉谐邪薪 斜械蟹 薪械芯锌褉邪胁写邪薪薪芯泄 蟹邪写械褉卸泻懈 懈, 锌芯 胁芯蟹屑芯卸薪芯褋褌懈, 薪械 锌芯蟹写薪械械 72 褔邪褋芯胁, 蟹邪 懈褋泻谢褞褔械薪懈械屑 褋谢褍褔邪械胁, 泻芯谐写邪 泻芯薪褌褉芯谢褢褉 屑芯卸械褌 锌芯写褌胁械褉写懈褌褜, 胁 褋芯芯褌胁械褌褋褌胁懈懈 褋 锌褉懈薪褑懈锌芯屑 锌芯写芯褌褔械褌薪芯褋褌懈, 褔褌芯 薪邪褉褍褕械薪懈械 斜械蟹芯锌邪褋薪芯褋褌懈 锌械褉褋芯薪邪谢褜薪褘褏 写邪薪薪褘褏 褋 屑邪谢芯泄 胁械褉芯褟褌薪芯褋褌褜褞 屑芯卸械褌 锌褉械写褋褌邪胁谢褟褌褜 褉懈褋泻 薪邪褉褍褕械薪懈褟 锌褉邪胁 懈 褋胁芯斜芯写 褎懈蟹懈褔械褋泻懈褏 谢懈褑. 袙 褋谢褍褔邪褟褏, 泻芯谐写邪 锌芯写芯斜薪芯械 褍胁械写芯屑谢械薪懈械 薪械 屑芯卸械褌 斜褘褌褜 褋写械谢邪薪芯 胁 褌械褔械薪懈械 72 褔邪褋芯胁, 锌褉懈褔懈薪褘 褌邪泻芯泄 蟹邪写械褉卸泻懈 写芯谢卸薪褘 褋芯锌褉芯胁芯卸写邪褌褜 褍胁械写芯屑谢械薪懈械 懈 懈薪褎芯褉屑邪褑懈褟 屑芯卸械褌 锌褉械写芯褋褌邪胁谢褟褌褜褋褟 锌芯褝褌邪锌薪芯 斜械蟹 写芯锌芯谢薪懈褌械谢褜薪芯泄 蟹邪写械褉卸泻懈.

(84) A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entra帽en un alto riesgo para los derechos y libertades de las personas f铆sicas, debe incumbir al responsable del tratamiento la realizaci贸n de una evaluaci贸n de impacto relativa a la protecci贸n de datos, que eval煤e, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluaci贸n debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluaci贸n de impacto relativa a la protecci贸n de datos muestra que las operaciones de tratamiento entra帽an un alto riesgo que el responsable no puede mitigar con medidas adecuadas en t茅rminos de tecnolog铆a disponible y costes de aplicaci贸n, debe consultarse a la autoridad de control antes del tratamiento.

(84) In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing.

(89) La Directiva 95/46/CE estableci贸 la obligaci贸n general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligaci贸n, sin embargo, no contribuy贸 en todos los casos a mejorar la protecci贸n de los datos personales. Por tanto, estas obligaciones generales de notificaci贸n indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entra帽en probablemente un alto riesgo para los derechos y libertades de las personas f铆sicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnolog铆as, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluaci贸n de impacto relativa a la protecci贸n de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluaci贸n de impacto relativa a la protecci贸n de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, 谩mbito, contexto y fines del tratamiento y los or铆genes del riesgo. Dicha evaluaci贸n de impacto debe incluir, en particular, las medidas, garant铆as y mecanismos previstos para mitigar el riesgo, garantizar la protecci贸n de los datos personales y demostrar la conformidad con el presente Reglamento.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(91) Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podr铆an afectar a un gran n煤mero de interesados y entra帽en probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en funci贸n del nivel de conocimientos t茅cnicos alcanzado, se haya utilizado una nueva tecnolog铆a a gran escala y a otras operaciones de tratamiento que entra帽an un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace m谩s dif铆cil para los interesados el ejercicio de sus derechos. La evaluaci贸n de impacto relativa a la protecci贸n de datos debe realizarse tambi茅n en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas f铆sicas concretas a ra铆z de una evaluaci贸n sistem谩tica y exhaustiva de aspectos personales propios de personas f铆sicas, basada en la elaboraci贸n de perfiles de dichos datos o a ra铆z del tratamiento de categor铆as especiales de datos personales, datos biom茅tricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. Tambi茅n es necesaria una evaluaci贸n de impacto relativa a la protecci贸n de datos para el control de zonas de acceso p煤blico a gran escala, en particular cuando se utilicen dispositivos optoelectr贸nicos o para cualquier otro tipo de operaci贸n cuando la autoridad de control competente considere que el tratamiento entra帽e probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efect煤e sistem谩ticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo m茅dico, otro profesional de la salud o abogado. En estos casos, la evaluaci贸n de impacto de la protecci贸n de datos no debe ser obligatoria.

(91) This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory.

(92) Hay circunstancias en las que puede ser razonable y econ贸mico que una evaluaci贸n de impacto relativa a la protecci贸n de datos abarque m谩s de un 煤nico proyecto, por ejemplo, en el caso de que las autoridades u organismos p煤blicos prevean crear una aplicaci贸n o plataforma com煤n de tratamiento, o si varios responsables proyecten introducir una aplicaci贸n o un entorno de tratamiento com煤n en un sector o segmento empresarial o para una actividad horizontal de uso generalizado.

(92) There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.

(93) Los Estados miembros, al adoptar el Derecho en el que se basa el desempe帽o de las funciones de la autoridad p煤blica o el organismo p煤blico y que regula la operaci贸n o el conjunto de operaciones de tratamiento en cuesti贸n, pueden considerar necesario llevar a cabo dicha evaluaci贸n con car谩cter previo a las actividades de tratamiento.

(93) In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities.

Ley de Directrices y caso Deja un comentario
[js-disqus]