Cómo demostrar el cumplimiento del artículo 35 del RGPD

Evaluación de impacto de protección de datos

Reserve una demostración

equipo,lluvia de ideas,proceso,foto,joven,creativo,gerentes,equipo,trabajando,con

RGPD El artículo 35 exige que las organizaciones lleven a cabo una Evaluación de impacto de protección de datos (DPIA) siempre que sus acciones como procesador de datos tengan el potencial de impactar los derechos y libertades de las personas, tal como los otorgan sus gobiernos nacionales.

RGPD Artículo 35 Texto Legal

Versión del RGPD de la UE

Evaluación de impacto de la protección de datos

  1. Cuando un tipo de tratamiento, en particular el que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, pueda dar lugar a un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento, antes de el tratamiento, realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales. Una sola evaluación puede abordar un conjunto de operaciones de procesamiento similares que presentan altos riesgos similares.

  2. El responsable del tratamiento solicitará asesoramiento al delegado de protección de datos, cuando así lo haya designado, al realizar una evaluación de impacto de la protección de datos.

  3. Se requerirá, en particular, una evaluación de impacto de la protección de datos a que se refiere el apartado 1 en caso de:

    • a) una evaluación sistemática y exhaustiva de los aspectos personales de las personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que de manera similar afecten significativamente a la persona física.

    • b) el tratamiento a gran escala de categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de datos personales relacionados con condenas penales e infracciones a que se refiere el artículo 10; o

    • c) un seguimiento sistemático a gran escala de una zona de acceso público.

  4. El Comisario establecerá y hará pública una lista de los tipos de operaciones de tratamiento que están sujetas al requisito de una evaluación de impacto en materia de protección de datos de conformidad con el apartado 1. La autoridad de control comunicará dichas listas a la Junta a que se refiere el artículo 68.

  5. El Comisario también podrá establecer y hacer pública una lista de los tipos de operaciones de tratamiento para las que no se requiere una evaluación de impacto en materia de protección de datos. La autoridad de control comunicará dichas listas a la Junta.

  6. La evaluación contendrá al menos:

    • a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluido, en su caso, el interés legítimo perseguido por el responsable del tratamiento.

    • b) una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con los fines.

    • c) una evaluación de los riesgos para los derechos y libertades de los interesados ​​a que se refiere el apartado 1; y

    • d) las medidas previstas para hacer frente a los riesgos, incluidas salvaguardias, medidas de seguridad y mecanismos para garantizar la protección de los datos personales y demostrar el cumplimiento del presente Reglamento teniendo en cuenta los derechos e intereses legítimos de los interesados ​​y otras personas interesadas.

  7. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por parte de los responsables o encargados pertinentes se tendrá debidamente en cuenta al evaluar el impacto de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de una evaluación de impacto en materia de protección de datos.

  8. Cuando proceda, el responsable del tratamiento recabará la opinión de los interesados ​​o de sus representantes sobre el tratamiento previsto, sin perjuicio de la protección de los intereses comerciales o públicos o de la seguridad de las operaciones de tratamiento.

  9. En el caso del tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), los apartados 1 a 7 del presente artículo no se aplicarán si ya se ha llevado a cabo una evaluación de impacto en materia de protección de datos para el tratamiento como parte de un evaluación general de impacto requerida por la legislación nacional, a menos que la legislación nacional disponga lo contrario.

  10. Cuando sea necesario, el responsable del tratamiento llevará a cabo una revisión para evaluar si el tratamiento se realiza de conformidad con la evaluación de impacto en materia de protección de datos, al menos cuando haya un cambio en el riesgo que representan las operaciones de tratamiento.

Versión del RGPD del Reino Unido

El RGPD del Reino Unido es muy similar al extracto del RGPD de la UE, sin diferencias notables.

Saltar al tema

Comentario técnico

Al considerar la planificación e implementación de una EIPD, las organizaciones deben considerar 11 áreas clave:

  1. Si una obligatorio Se debe realizar una EIPD.

  2. La intervención de un Delegado de Protección de Datos.

  3. La probabilidad de que exista un riesgo significativo para los derechos y libertades de un individuo.

  4. Especificaciones DPA.

  5. Mecanismos de coherencia.

  6. Los requisitos mínimos de cualquier EIPD que se vaya a realizar.

  7. Cualquier código de conducta relevante.

  8. Cualquier exención nacional vigente.

  9. Una revisión de la operación de tratamiento, una vez finalizada la EIPD.

ISO 27701 Cláusula 5.2.2 (Comprensión de las necesidades y expectativas de las partes interesadas) y artículo 35 (9) del RGPD de la UE

La PII y la protección de la privacidad tienen el potencial de afectar a una gran cantidad de empleados, usuarios y clientes, tanto interna como externamente.

Las organizaciones necesitan obtener una comprensión firme de las necesidades de cualquier personal afectado y de lo que ISO considera "partes interesadas".

Necesidad de la organización de establecer y documentar:

  • cualquier "parte interesada" que sea relevante para el tema más amplio de la protección de la privacidad.

  • cuáles son los requisitos únicos de dichos individuos dentro del alcance de un PIMS.

Las organizaciones también deben tener en cuenta cualquier obligación legal, reglamentaria o contractual, junto con los requisitos prácticos y operativos.

Al implementar un PIMS, las organizaciones deben trazar una lista de partes interesadas que se ven afectadas por un PIMS o que tienen un papel que desempeñar en el procesamiento de la PII.

En lo que respecta a la PII, una parte interesada podría ser una de las siguientes (pero no limitada a):

  • Un empleado.

  • Un cliente.

  • Autoridades reguladoras, judiciales o de supervisión.

  • Otros controladores y procesadores de PII.

Es importante tener en cuenta que los requisitos de PII (en relación con un PIMS) a menudo emanan de una amplia gama de fuentes, que incluyen:

  • Procesos y objetivos internos.

  • Organismos gubernamentales y/o reguladores.

  • Obligaciones contractuales con terceras organizaciones.

A menudo puede resultar difícil para las organizaciones gubernamentales y reguladoras confirmar el cumplimiento de los estándares de protección de la privacidad publicados por parte de una organización, en su función como procesador y controlador de PII.

Como tal, las organizaciones deben esperar que dichos organismos soliciten revisiones independientes de cualquier Sistema de Gestión relevante, para satisfacer sus propios requisitos de auditoría.

ISO 27701 Cláusula 7.2.5 (Evaluación de impacto en la privacidad) y artículo 35 del RGPD UE

En esta sección hablamos de los artículos 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(a), 35 (3)(b), 35 (3)(c). ), 35 (4), 35 (5), 35 (7)(a), 35 (7)(b), 35 (7)(c), 35 (7)(d), 35 (8) y 35 (9)

Las evaluaciones del impacto en la privacidad permiten a las organizaciones evaluar las implicaciones para la seguridad de la información al procesar un nuevo conjunto de PII o cambiar la forma en que se procesan los datos existentes.

El procesamiento de PII es una función empresarial de alto riesgo que debe evaluarse minuciosamente para garantizar la integridad, autenticidad y legalidad de los datos que se procesan.

Dependiendo de la jurisdicción, algunas organizaciones deberán cumplir con una lista categórica de escenarios en los que se requiere una evaluación del impacto en la privacidad, como por ejemplo:

  1. Toma de decisiones automatizada.

  2. Procesamiento a nivel empresarial de categorías especiales de PII.

  3. Monitorización de grandes áreas públicas.

Las organizaciones deben establecer qué constituye una evaluación de impacto adecuada, que incluye (pero no se limita a):

  • Qué tipo de PII se almacena.

  • Dónde se almacena.

  • Dónde se puede reubicar.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISO 27701 Cláusula 8.2.1 (Acuerdo con el Cliente) y Artículo 35 (1) del RGPD UE

Los contratos deben incluir:

  • El concepto de 'privacidad por diseño' (ver ISO 27701 Cláusulas 7.4 y 8.4).

  • Cómo pretende la organización lograr la seguridad del procesamiento.

  • Cómo se deben informar las infracciones, incluidos el cliente, los directores y las autoridades reguladoras.

  • Cómo se deben abordar las evaluaciones de impacto en la privacidad.

  • Confirmación de la intención de la organización de prestar asistencia a las autoridades de protección de IPI.

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.4
  • ISO 27701 8.4

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículo 35 (9) del RGPD UEISO 27701 5.2.2Ninguna
Artículos 35 (1) a 35 (9) del RGPD UEISO 27701 7.2.5Ninguna
Artículo 35 (1) del RGPD UEISO 27701 8.2.1ISO 27701 7.4
ISO 27701 8.4

Cómo ayuda ISMS.online

Una violación del RGPD puede dar lugar a multas importantes, lo que la convierte en una de las normas de privacidad y seguridad más estrictas del mundo. Por lo tanto, las organizaciones deben proteger los datos personales en una medida "razonable".

Pero he aquí las buenas noticias.

Con ISMS.online, puede pasar directamente al cumplimiento del RGPD y demostrar un nivel de protección que va más allá de lo "razonable". Facilitamos el mapeo de datos. Registre y revise fácilmente la actividad de procesamiento de su organización agregando sus datos a nuestra herramienta dinámica preconfigurada Registros de actividad de procesamiento.

Con nuestras herramientas, puede planificar, comunicar, documentar y aprender de cada infracción.

Descubre más por reservar una demostración.

ISMS.online es un
solución integral que aceleró radicalmente nuestra implementación.

evan harris
Fundador y director de operaciones, Lleno de vida

Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más