L'Agence espagnole de protection des données (AEPD) a publié une liste de contrôle pour aider les contrôleurs de données à identifier rapidement et à déterminer si le processus et la documentation suivis pour effectuer une évaluation de l'impact des données sur la protection des données (EIPD) contiennent les éléments nécessaires.
L'AEPD dispose du guide "Gestion des risques et évaluation de l'impact dans le traitement des données à caractère personnel", qui facilite la gestion obligatoire des risques dans les processus de gouvernance des entités et, le cas échéant, de la EIPD. Cette liste de contrôles supplémentaires est ce guide et permet, une fois l'analyse d'impact découverte et documentée, d'effectuer un contrôle final pour vérifier que vous avez bien reçu tous les aspects enregistrés dans la norme de protection des données.
Le règlement général sur la protection des données établit que les organisations qui traitent des données à caractère personnel doivent pratiquer la gestion des risques afin d'établir des mesures pour garantir les droits et libertés des personnes. De même, dans les cas où les traitements impliquent un risque élevé pour la protection des données, le règlement prévoit que ces organisations sont tenues de procéder à une évaluation de l'impact sur la protection des données afin de réduire ces risques. Si après la réalisation de la DPI, et après que l'habitant a adopté des mesures, le risque demeure élevé, le responsable doit procéder à une consultation préalable auprès de l'autorité de contrôle avant de procéder à ce traitement de données à caractère personnel.
L'objectif de cette nouvelle ressource de l'AEPD est d'aider les personnes en charge de se conformer aux obligations d'élaboration et de documentation d'une EIPD et de faire en sorte qu'en cas de devoir procéder à cette concertation préalable avec l'Agence, il soit plus facile de vérifier qu'il est rempli avec les exigences pour sa présentation, en particulier la dérivation de l'instruction 1/2021, pour laquelle des lignes directrices sont établies concernant la fonction de conseil de l'Agence.
Dans ce cas, au cas où les responsables du plan de traitement procéderaient à une consultation préalable, l'instruction 1/2021 établit qu'ils doivent tenir compte de ce qui est indiqué par l'AEPD dans ses guides et recommandations. Par conséquent, la personne responsable doit soumettre cette liste de contrôle complète à l'Agence, afin d'inclure le contenu minimum requis et de fournir une requête plus précise et exacte.
Le processus pour se conformer à la liste de contrôle nécessite de mettre à jour la valeur de la colonne « chek » (un champ de sélection marqué par défaut comme « non »), en ajoutant les observations ou les conclusions qui sont appropriées et qui font référence et/ou redirigent vers la DPEI. Documentation.
Cette liste de contrôle est un outil destiné à aider les personnes chargées d'effectuer un contrôle de sobriété final qui doit être inclus dans l'EIPD tel qu'il a été élaboré et documenté. Dès lors, quelle que soit cette ressource de l'Agence, le responsable du traitement doit respecter le principe de responsabilité proactive imposé par le règlement, ce qui implique d'effectuer une gestion des risques et d'effectuer une DPEI lorsque le traitement comporte un risque élevé pour les droits et les libertés des personnes. .
