L'Agenzia spagnola per la protezione dei dati (AEPD) ha pubblicato un elenco di controllo per aiutare i responsabili del trattamento dei dati a identificare e determinare rapidamente se il processo e la documentazione seguiti per eseguire una valutazione dell'impatto dei dati sulla protezione dei dati (EIPD) contengano gli elementi necessari.
L'AEPD dispone della guida "Gestione del rischio e valutazione dell'impatto nel trattamento dei dati personali", che facilita la gestione obbligatoria del rischio nei processi di governance delle entità e, se del caso, l'EIPD. Questo elenco di controlli aggiuntivi è questa guida e consente, una volta scoperta e documentata la valutazione d'impatto, di effettuare un controllo finale per verificare di aver ricevuto tutti gli aspetti registrati nella norma sulla protezione dei dati.
Il regolamento generale sulla protezione dei dati stabilisce che le organizzazioni che trattano dati personali devono praticare la gestione del rischio al fine di stabilire misure per garantire i diritti e le libertà delle persone. Allo stesso modo, nei casi in cui i trattamenti implicano un rischio elevato per la protezione dei dati, il regolamento prevede che tali organizzazioni siano obbligate a effettuare una valutazione d'impatto sulla protezione dei dati per ridurre tali rischi. Se dopo l'esecuzione dell'EIPD, e dopo che l'utente ha adottato le misure, il rischio rimane elevato, il responsabile deve procedere a una preventiva consultazione con l'autorità di controllo prima di procedere a tale trattamento di dati personali.
L'obiettivo di questa nuova risorsa dell'AEPD è aiutare le persone incaricate a rispettare gli obblighi di sviluppo e documentazione di un EIPD e in modo che, in caso di dover effettuare questa consultazione preventiva con l'Agenzia, sia più facile verificare che sia soddisfatto dei requisiti per la sua presentazione, in particolare la derivazione dell'Istruzione 1/2021, per la quale sono stabilite le linee guida in merito alla funzione consultiva dell'Agenzia.
In questo caso, nel caso in cui i responsabili del piano di trattamento eseguano un consulto preventivo, l'Istruzione 1/2021 stabilisce che devono contemplare quanto indicato dall'AEPD nelle sue guide e raccomandazioni. Di conseguenza, il responsabile deve presentare all'Agenzia questa checklist completa, al fine di includere il contenuto minimo richiesto e fornire una query di maggiore precisione e accuratezza.
Il processo per conformarsi alla checklist prevede l'aggiornamento del valore della colonna 'chek' (campo di selezione contrassegnato di default come 'no'), l'aggiunta delle osservazioni o conclusioni appropriate e che fanno riferimento e/o reindirizzamento all'EIPD documentazione.
Questa checklist è uno strumento inteso ad aiutare i responsabili dello svolgimento di un controllo finale sobrio che deve essere incluso nel SIFT così come è stato sviluppato e documentato. Pertanto, indipendentemente da tale risorsa da parte dell'Agenzia, il titolare del trattamento deve rispettare il principio di responsabilità proattiva imposto dal Regolamento, il che significa svolgere una gestione del rischio e svolgere un EIPD quando il trattamento comporta un rischio elevato per i diritti e le libertà delle persone .
