El Reglamento General de Protección de Datos (RGPD) dispone que los responsables y encargados del tratamiento de datos personales están obligados a hacer un análisis de riesgos e implantar las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, si de este análisis se constata la existencia de un alto riesgo para la protección de datos, también exige que se realice una evaluación de impacto (EIPD).
Para facilitar el cumplimiento de estas obligaciones, la Agencia Española de Protección de Datos ha creado Gestiona_EIPD , una herramienta gratuita diseñada para ayudar a que las empresas y administraciones que efectúen tratamientos de datos de alto riesgo puedan hacer análisis de riesgos o evaluaciones de impacto. También puede ser un recurso útil para las pymes que tengan que llevar a la práctica una EIPD.
La AEPD cuenta en su página web con un listado que incluye los tratamientos de datos en los que se exige la realización de una evaluación de impacto, como recoge el RGPD. Esta lista se complementa con otro listado de los tratamientos en los que no se requiere una EIPD .
Gestiona_EIPD está pensada como un cuestionario online que incide en los aspectos que se deben tenerse en cuenta tanto en los análisis de riesgos como en las evaluaciones de impacto en protección de datos personales. El proceso, en el que la Agencia no conserva ni monitoriza dato alguno, da como resultado una documentación básica que sirve de inicio para comenzar con las actividades de análisis y gestión de riesgos y que serán de ayuda al responsable para cumplir con lo previsto en el Reglamento y la LOPDGDD.
Esta documentación mínima no sólo es una ayuda para cumplir con la norma, sino que también plantea medidas que pueden contribuir a reducir o mitigar los riesgos del tratamiento. No obstante, la Agencia subraya que, en ningún caso, los requisitos de cumplimiento pueden reemplazarse por medidas alternativas técnicas u organizativas. Para obtener más información puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD.
Es importante resaltar que esta documentación básica debe ser completada y analizada por el responsable del tratamiento y, en su caso, el encargado del tratamiento, siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales .
Gestiona_EIPD se suma así al catálogo de recursos que la AEPD pone a disposición de las organizaciones para ayudar a cumplir con la normativa de protección de datos, entre las que se encuentra Facilita_RGPD , creada para a las empresas y profesionales que traten datos personales de escaso riesgo. Desde su lanzamiento en septiembre de 2017 ha tenido 800.000 accesos y casi 200.000 empresas han obtenido los documentos mínimos para facilitar el cumplimiento de la normativa.