El Reglament General de Protecció de Dades (RGPD) disposa que els responsables i encarregats del tractament de dades personals estan obligats a fer una anàlisi de riscos i implantar les mesures que siguin necessàries per garantir els drets i llibertats de les persones. A més, si d'aquesta anàlisi es constata l'existència d'un alt risc per a la protecció de dades, també exigeix que es realitzi una avaluació d'impacte (EIPD).
Per facilitar el compliment d'aquestes obligacions, l'Agència Espanyola de Protecció de Dades ha creat Gestiona_EIPD , una eina gratuïta dissenyada per ajudar al fet que les empreses i administracions que efectuïn tractaments de dades d'alt risc puguin fer anàlisi de riscos o avaluacions d'impacte. També pot ser un recurs útil per a les pimes que hagin de portar a la pràctica una EIPD.
L'AEPD explica a la seva pàgina web amb un llistat que inclou els tractaments de dades en els quals s'exigeix la realització d'una avaluació d'impacte, com recull el RGPD. Aquesta llista es complementa amb un altre llistat dels tractaments en els quals no es requereix una EIPD .
Gestiona_EIPD està pensada com un qüestionari online que incideix en els aspectes que s'han de tenir-se en compte tant en les anàlisis de riscos com en les avaluacions d'impacte en protecció de dades personals. El procés, en el qual l'Agència no conserva ni monitora dada algun, dona com resultat una documentació bàsica que serveix d'inici per començar amb les activitats d'anàlisis i gestió de riscos i que seran d'ajuda al responsable per complir amb el previst en el Reglament i la LOPDGDD.
Aquesta documentació mínima no només és una ajuda per complir amb la norma, sinó que també planteja mesures que poden contribuir a reduir o mitigar els riscos del tractament. No obstant això, l'Agència subratlla que, en cap cas, els requisits de compliment poden reemplaçar-se per mesures alternatives tècniques o organitzatives. Per obtenir més informació pot consultar-se el Llistat d'elements per al compliment normatiu del RGPD.
És important ressaltar que aquesta documentació bàsica ha de ser completada i analitzada pel responsable del tractament i, si escau, l'encarregat del tractament, seguint les indicacions establertes en Guia pràctica per a les avaluacions d'impacte en la protecció de dades personals .
Gestiona_EIPD se suma així al catàleg de recursos que l'AEPD posa a la disposició de les organitzacions per ajudar a complir amb la normativa de protecció de dades, entre les quals es troba Facilita_RGPD , creada para a les empreses i professionals que tractin dades personals d'escàs risc. Des del seu llançament al setembre de 2017 ha tingut 800.000 accessos i gairebé 200.000 empreses han obtingut els documents mínims per facilitar el compliment de la normativa.