O Regulamento Xeral de Protección de Datos (RGPD) dispón que os responsables e encargados do tratamento de datos persoais están obrigados a facer unha análise de riscos e implantar as medidas que sexan necesarias para garantir os dereitos e liberdades das persoas. Ademais, se desta análise constátase a existencia dun alto risco para a protección de datos, tamén esixe que se realice unha avaliación de impacto (EIPD).
Para facilitar o cumprimento destas obrigas, a Axencia Española de Protección de Datos creou Xestiona_EIPD , unha ferramenta gratuíta deseñada para axudar a que as empresas e administracións que efectúen tratamentos de datos de alto risco poidan facer análise de riscos ou avaliacións de impacto. Tamén pode ser un recurso útil para as pemes que teñan que levar á práctica unha EIPD.
A AEPD conta na súa páxina web cunha listado que inclúe os tratamentos de datos nos que se esixe a realización dunha avaliación de impacto, como recolle o RGPD. Esta lista compleméntase con outra listado de los tratamientos en los que no se requiere una EIPD .
Gestiona_EIPD está pensada como un cuestionario online que incide en los aspectos que se deben tenerse en cuenta tanto en los análisis de riesgos como en las evaluaciones de impacto en protección de datos personales. El proceso, en el que la Agencia no conserva ni monitoriza dato alguno, da como resultado una documentación básica que sirve de inicio para comenzar con las actividades de análisis y gestión de riesgos y que serán de ayuda al responsable para cumplir con lo previsto en el Reglamento y la LOPDGDD.
Esta documentación mínima non só é unha axuda para cumprir coa norma, senón que tamén expón medidas que poden contribuír a reducir ou mitigar os riscos do tratamento. No entanto, a Axencia subliña que, en ningún caso, os requisitos de cumprimento poden substituírse por medidas alternativas técnicas ou organizativas. Para obter máis información pode consultarse a Listado de elementos para o cumprimento normativo do RGPD.
É importante resaltar que esta documentación básica debe ser completada e analizada polo responsable do tratamento e, no seu caso, o encargado do tratamento, seguindo as indicacións establecidas na Guía práctica para as avaliacións de impacto na protección de datos persoais .
Xestiona_EIPD súmase así ao catálogo de recursos que a AEPD pon a disposición das organizacións para axudar a cumprir coa normativa de protección de datos, entre as que se atopa Facilita_RGPD , creada para ás empresas e profesionais que traten datos persoais de escaso risco. Desde o seu lanzamento en setembro de 2017 tivo 800.000 accesos e case 200.000 empresas obtiveron os documentos mínimos para facilitar o cumprimento da normativa.