Cómo demostrar el cumplimiento del artículo 35 del RGPD

El cumplimiento del artículo 35 del RGPD destaca el requisito de que las organizaciones realicen evaluaciones de impacto de protección de datos (EIPD) para actividades de procesamiento de datos de alto riesgo, garantizando el cumplimiento y mitigando los riesgos para los derechos y libertades de las personas.

Solicite una demo
Autor
Max Edwards
Actualizado el 11 de marzo de 2025
LinkedIn Twitter Twitter

Comprensión del artículo 35 del RGPD: La importancia de las evaluaciones de impacto de la protección de datos (EIPD)

GDPR El artículo 35 exige que las organizaciones lleven a cabo una Evaluación de impacto de protección de datos (DPIA) siempre que sus acciones como procesador de datos tengan el potencial de impactar los derechos y libertades de las personas, tal como los otorgan sus gobiernos nacionales.

RGPD Artículo 35 Texto Legal

Versión del RGPD de la UE

Evaluación de impacto de la protección de datos

  1. Cuando un tipo de tratamiento, en particular el que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento, antes de el tratamiento, realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una sola evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan altos riesgos similares.
  2. El responsable del tratamiento solicitará asesoramiento al delegado de protección de datos, cuando así lo haya designado, al realizar una evaluación de impacto de la protección de datos.
  3. Se requerirá, en particular, una evaluación de impacto de la protección de datos a que se refiere el apartado 1 en caso de:

    • a) una evaluación sistemática y exhaustiva de los aspectos personales de las personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que de manera similar afecten significativamente a la persona física.
    • b) el tratamiento a gran escala de categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de datos personales relacionados con condenas penales e infracciones a que se refiere el artículo 10; o
    • c) un seguimiento sistemático a gran escala de una zona de acceso público.
  4. El Comisario establecerá y hará pública una lista de los tipos de operaciones de tratamiento que están sujetas al requisito de una evaluación de impacto en materia de protección de datos de conformidad con el apartado 1. La autoridad de control comunicará dichas listas a la Junta a que se refiere el artículo 68.
  5. El Comisario también podrá establecer y hacer pública una lista de los tipos de operaciones de tratamiento para las que no se requiere una evaluación de impacto en materia de protección de datos. La autoridad de control comunicará dichas listas a la Junta.
  6. La evaluación contendrá al menos:

    • a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluido, en su caso, el interés legítimo perseguido por el responsable del tratamiento.
    • b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines.
    • c) una evaluación de los riesgos para los derechos y libertades de los interesados ​​a que se refiere el apartado 1; y
    • d) las medidas previstas para hacer frente a los riesgos, incluidas salvaguardias, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados ​​y otras personas interesadas.
  7. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por parte de los responsables o encargados pertinentes se tendrá debidamente en cuenta al evaluar el impacto de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de una evaluación de impacto en materia de protección de datos.
  8. Cuando proceda, el responsable del tratamiento recabará la opinión de los interesados ​​o de sus representantes sobre el tratamiento previsto, sin perjuicio de la protección de los intereses comerciales o públicos o de la seguridad de las operaciones de tratamiento.
  9. En el caso del tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), los apartados 1 a 7 del presente artículo no se aplicarán si ya se ha llevado a cabo una evaluación de impacto en materia de protección de datos para el tratamiento como parte de un evaluación general de impacto requerida por la legislación nacional, a menos que la legislación nacional disponga lo contrario.
  10. Cuando sea necesario, el responsable del tratamiento llevará a cabo una revisión para evaluar si el tratamiento se realiza de conformidad con la evaluación de impacto en materia de protección de datos, al menos cuando haya un cambio en el riesgo que representan las operaciones de tratamiento.

Versión del RGPD del Reino Unido

El RGPD del Reino Unido es muy similar al extracto del RGPD de la UE, sin diferencias notables.

Comentario técnico

Al considerar la planificación e implementación de una EIPD, las organizaciones deben considerar 11 áreas clave:

  1. Si una obligatorio Se debe realizar una EIPD.
  2. La intervención de un Delegado de Protección de Datos.
  3. La probabilidad de que exista un riesgo significativo para los derechos y libertades de un individuo.
  4. Especificaciones DPA.
  5. Mecanismos de coherencia.
  6. Los requisitos mínimos de cualquier EIPD que se vaya a realizar.
  7. Cualquier código de conducta relevante.
  8. Cualquier exención nacional vigente.
  9. Una revisión de la operación de tratamiento, una vez finalizada la EIPD.


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 5.2.2 (Comprensión de las necesidades y expectativas de las partes interesadas) y artículo 35 (9) del RGPD de la UE

La PII y la protección de la privacidad tienen el potencial de afectar a una gran cantidad de empleados, usuarios y clientes, tanto interna como externamente.

Las organizaciones necesitan obtener una comprensión firme de las necesidades de cualquier personal afectado y de lo que ISO considera "partes interesadas".

Necesidad de la organización de establecer y documentar:

  • cualquier "parte interesada" que sea relevante para el tema más amplio de la protección de la privacidad.
  • cuáles son los requisitos únicos de dichos individuos dentro del alcance de un PIMS.

Las organizaciones también deben tener en cuenta cualquier obligación legal, reglamentaria o contractual, junto con los requisitos prácticos y operativos.

Al implementar un PIMS, las organizaciones deben trazar una lista de partes interesadas que se ven afectadas por un PIMS o que tienen un papel que desempeñar en el procesamiento de la PII.

En lo que respecta a la PII, una parte interesada podría ser una de las siguientes (pero no limitada a):

  • Un empleado.
  • Un cliente.
  • Autoridades reguladoras, judiciales o de supervisión.
  • Otros controladores y procesadores de PII.

Es importante tener en cuenta que los requisitos de PII (en relación con un PIMS) a menudo emanan de una amplia gama de fuentes, que incluyen:

  • Procesos y objetivos internos.
  • Organismos gubernamentales y/o reguladores.
  • Obligaciones contractuales con terceras organizaciones.

A menudo puede resultar difícil para las organizaciones gubernamentales y reguladoras confirmar el cumplimiento de los estándares de protección de la privacidad publicados por parte de una organización, en su función como procesador y controlador de PII.

Como tal, las organizaciones deben esperar que dichos organismos soliciten revisiones independientes de cualquier Sistema de Gestión relevante, para satisfacer sus propios requisitos de auditoría.

ISO 27701 Cláusula 7.2.5 (Evaluación de impacto en la privacidad) y artículo 35 del RGPD UE

En esta sección hablamos de los artículos 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(a), 35 (3)(b), 35 (3)(c). ), 35 (4), 35 (5), 35 (7)(a), 35 (7)(b), 35 (7)(c), 35 (7)(d), 35 (8) y 35 (9)

Las evaluaciones del impacto en la privacidad permiten a las organizaciones evaluar las implicaciones para la seguridad de la información al procesar un nuevo conjunto de PII o cambiar la forma en que se procesan los datos existentes.

El procesamiento de PII es una función empresarial de alto riesgo que debe evaluarse minuciosamente para garantizar la integridad, autenticidad y legalidad de los datos que se procesan.

Dependiendo de la jurisdicción, algunas organizaciones deberán cumplir con una lista categórica de escenarios en los que se requiere una evaluación del impacto en la privacidad, como por ejemplo:

  1. Toma de decisiones automatizada.
  2. Procesamiento a nivel empresarial de categorías especiales de PII.
  3. Monitorización de grandes áreas públicas.

Las organizaciones deben establecer qué constituye una evaluación de impacto adecuada, que incluye (pero no se limita a):

  • Qué tipo de PII se almacena.
  • Dónde se almacena.
  • Dónde se puede reubicar.


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 8.2.1 (Acuerdo con el Cliente) y Artículo 35 (1) del RGPD UE

Los contratos deben incluir:

  • El concepto de 'privacidad por diseño' (ver ISO 27701 Cláusulas 7.4 y 8.4).
  • Cómo pretende la organización lograr la seguridad del procesamiento.
  • Cómo se deben informar las infracciones, incluidos el cliente, los directores y las autoridades reguladoras.
  • Cómo se deben abordar las evaluaciones de impacto en la privacidad.
  • Confirmación de la intención de la organización de prestar asistencia a las autoridades de protección de IPI.

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.4
  • ISO 27701 8.4

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículo 35 (9) del RGPD UE ISO 27701 5.2.2Nona
Artículos 35 (1) a 35 (9) del RGPD UE ISO 27701 7.2.5Nona
Artículo 35 (1) del RGPD UE ISO 27701 8.2.1 ISO 27701 7.4
ISO 27701 8.4

Cómo ayuda ISMS.online

Una violación del RGPD puede dar lugar a multas importantes, lo que la convierte en una de las normas de privacidad y seguridad más estrictas del mundo. Por lo tanto, las organizaciones deben proteger los datos personales en una medida "razonable".

Pero he aquí las buenas noticias.

Con ISMS.online, puede pasar directamente al cumplimiento del RGPD y demostrar un nivel de protección que va más allá de lo "razonable". Facilitamos el mapeo de datos. Registre y revise fácilmente la actividad de procesamiento de su organización agregando sus datos a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.

Descubre más por reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!