Navigacija
SUVP (GDPR) > Art铆culo聽35. Evaluaci贸n de impacto relativa a la protecci贸n de datos
Prenos PDF

Art铆culo聽35 RGPD. Evaluaci贸n de impacto relativa a la protecci贸n de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnolog铆as, por su naturaleza, alcance, contexto o fines, entra帽e un alto riesgo para los derechos y libertades de las personas f铆sicas, el responsable del tratamiento realizar谩, antes del tratamiento, una evaluaci贸n del impacto de las operaciones de tratamiento en la protecci贸n de datos personales. Una 煤nica evaluaci贸n podr谩 abordar una serie de operaciones de tratamiento similares que entra帽en altos riesgos similares.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization鈥檚 role in providing assistance with the customer鈥檚 obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

(EN) [鈥


to read the full text

Povezana besedila

2. El responsable del tratamiento recabar谩 el asesoramiento del delegado de protecci贸n de datos, si ha sido nombrado, al realizar la evaluaci贸n de impacto relativa a la protecci贸n de datos.

3. La evaluaci贸n de impacto relativa a la protecci贸n de los datos a que se refiere el apartado聽1 se requerir谩 en particular en caso de:

a) evaluaci贸n sistem谩tica y exhaustiva de aspectos personales de personas f铆sicas que se base en un tratamiento automatizado, como la elaboraci贸n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur铆dicos para las personas f铆sicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categor铆as especiales de datos a que se refiere el art铆culo聽9, apartado聽1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10,聽o

Povezana besedila

c) observaci贸n sistem谩tica a gran escala de una zona de acceso p煤blico.

4. La autoridad de control establecer谩 y publicar谩 una lista de los tipos de operaciones de tratamiento que requieran una evaluaci贸n de impacto relativa a la protecci贸n de datos de conformidad con el apartado聽1. La autoridad de control comunicar谩 esas listas al Comit茅 a que se refiere el art铆culo聽68.

Povezana besedila

5. La autoridad de control podr谩 asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protecci贸n de datos. La autoridad de control comunicar谩 esas listas al Comit茅.

6. Antes de adoptar las listas a que se refieren los apartados聽4 y聽5, la autoridad de control competente aplicar谩 el mecanismo de coherencia contemplado en el art铆culo聽63 si esas listas incluyen actividades de tratamiento que guarden relaci贸n con la oferta de bienes o servicios a interesados o con la observaci贸n del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulaci贸n de datos personales en la Uni贸n.

Povezana besedila

7. La evaluaci贸n deber谩 incluir como m铆nimo:

a) una descripci贸n sistem谩tica de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el inter茅s leg铆timo perseguido por el responsable del tratamiento;

b) una evaluaci贸n de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluaci贸n de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado聽1,聽y

d) las medidas previstas para afrontar los riesgos, incluidas garant铆as, medidas de seguridad y mecanismos que garanticen la protecci贸n de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses leg铆timos de los interesados y de otras personas afectadas.

8. El cumplimiento de los c贸digos de conducta aprobados a que se refiere el art铆culo聽40 por los responsables o encargados correspondientes se tendr谩 debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluaci贸n de impacto relativa a la protecci贸n de datos.

9. Cuando proceda, el responsable recabar谩 la opini贸n de los interesados o de sus representantes en relaci贸n con el tratamiento previsto, sin perjuicio de la protecci贸n de intereses p煤blicos o comerciales o de la seguridad de las operaciones de tratamiento.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) [鈥


to read the full text

10. Cuando el tratamiento de conformidad con el art铆culo聽6, apartado聽1, letras聽c) o聽e), tenga su base jur铆dica en el Derecho de la Uni贸n o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operaci贸n espec铆fica de tratamiento o conjunto de operaciones en cuesti贸n, y ya se haya realizado una evaluaci贸n de impacto relativa a la protecci贸n de datos como parte de una evaluaci贸n de impacto general en el contexto de la adopci贸n de dicha base jur铆dica, los apartados聽1 a聽7 no ser谩n de aplicaci贸n excepto si los Estados miembros consideran necesario proceder a dicha evaluaci贸n previa a las actividades de tratamiento.

Povezana besedila

11. En caso necesario, el responsable examinar谩 si el tratamiento es conforme con la evaluaci贸n de impacto relativa a la protecci贸n de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

ISO 27701 Uvodne izjave Smernice in sodna praksa Pustite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

(EN) [鈥


to read the full text

Uvodne izjave

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(84) A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entra帽en un alto riesgo para los derechos y libertades de las personas f铆sicas, debe incumbir al responsable del tratamiento la realizaci贸n de una evaluaci贸n de impacto relativa a la protecci贸n de datos, que eval煤e, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluaci贸n debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluaci贸n de impacto relativa a la protecci贸n de datos muestra que las operaciones de tratamiento entra帽an un alto riesgo que el responsable no puede mitigar con medidas adecuadas en t茅rminos de tecnolog铆a disponible y costes de aplicaci贸n, debe consultarse a la autoridad de control antes del tratamiento.

(89) La Directiva 95/46/CE estableci贸 la obligaci贸n general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligaci贸n, sin embargo, no contribuy贸 en todos los casos a mejorar la protecci贸n de los datos personales. Por tanto, estas obligaciones generales de notificaci贸n indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entra帽en probablemente un alto riesgo para los derechos y libertades de las personas f铆sicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnolog铆as, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluaci贸n de impacto relativa a la protecci贸n de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

(90) En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluaci贸n de impacto relativa a la protecci贸n de datos con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, 谩mbito, contexto y fines del tratamiento y los or铆genes del riesgo. Dicha evaluaci贸n de impacto debe incluir, en particular, las medidas, garant铆as y mecanismos previstos para mitigar el riesgo, garantizar la protecci贸n de los datos personales y demostrar la conformidad con el presente Reglamento.

(91) Lo anterior debe aplicarse, en particular, a las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podr铆an afectar a un gran n煤mero de interesados y entra帽en probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en funci贸n del nivel de conocimientos t茅cnicos alcanzado, se haya utilizado una nueva tecnolog铆a a gran escala y a otras operaciones de tratamiento que entra帽an un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace m谩s dif铆cil para los interesados el ejercicio de sus derechos. La evaluaci贸n de impacto relativa a la protecci贸n de datos debe realizarse tambi茅n en los casos en los que se tratan datos personales para adoptar decisiones relativas a personas f铆sicas concretas a ra铆z de una evaluaci贸n sistem谩tica y exhaustiva de aspectos personales propios de personas f铆sicas, basada en la elaboraci贸n de perfiles de dichos datos o a ra铆z del tratamiento de categor铆as especiales de datos personales, datos biom茅tricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. Tambi茅n es necesaria una evaluaci贸n de impacto relativa a la protecci贸n de datos para el control de zonas de acceso p煤blico a gran escala, en particular cuando se utilicen dispositivos optoelectr贸nicos o para cualquier otro tipo de operaci贸n cuando la autoridad de control competente considere que el tratamiento entra帽e probablemente un alto riesgo para los derechos y libertades de los interesados, en particular porque impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato, o porque se efect煤e sistem谩ticamente a gran escala. El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo m茅dico, otro profesional de la salud o abogado. En estos casos, la evaluaci贸n de impacto de la protecci贸n de datos no debe ser obligatoria.

(92) Hay circunstancias en las que puede ser razonable y econ贸mico que una evaluaci贸n de impacto relativa a la protecci贸n de datos abarque m谩s de un 煤nico proyecto, por ejemplo, en el caso de que las autoridades u organismos p煤blicos prevean crear una aplicaci贸n o plataforma com煤n de tratamiento, o si varios responsables proyecten introducir una aplicaci贸n o un entorno de tratamiento com煤n en un sector o segmento empresarial o para una actividad horizontal de uso generalizado.

(93) Los Estados miembros, al adoptar el Derecho en el que se basa el desempe帽o de las funciones de la autoridad p煤blica o el organismo p煤blico y que regula la operaci贸n o el conjunto de operaciones de tratamiento en cuesti贸n, pueden considerar necesario llevar a cabo dicha evaluaci贸n con car谩cter previo a las actividades de tratamiento.

Smernice in sodna praksa Pustite komentar
[js-disqus]