Cómo navegar por el artículo 36 del RGPD: pasos para garantizar el cumplimiento
GDPR Artículo 36 describe la obligación de una organización de consultar con una 'autoridad de control' antes de llevar a cabo una EIPD (ver Artículo 35), a fin de proteger aún más los derechos y libertades de los interesados durante toda la operación de procesamiento.
RGPD Artículo 36 Texto Legal
Versión del RGPD de la UE
Consulta Previa
- El responsable del tratamiento consultará a la autoridad de control antes del tratamiento cuando una evaluación de impacto de la protección de datos conforme al artículo 35 indique que el tratamiento daría lugar a un riesgo elevado en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo.
- Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 infringe el presente Reglamento, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, la autoridad de control, en un plazo de hasta ocho semanas a partir de la recepción de la la solicitud de consulta, proporcionar asesoramiento por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá hacer uso de cualquiera de sus facultades mencionadas en el artículo 58. Dicho plazo podrá ampliarse en seis semanas, teniendo en cuenta la complejidad del tratamiento previsto. . La autoridad de control informará al responsable y, en su caso, al encargado, de dicha prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta junto con los motivos del retraso. Dichos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información que haya solicitado a efectos de la consulta.
- Al consultar a la autoridad de control de conformidad con el apartado 1, el responsable del tratamiento proporcionará a la autoridad de control:
- a) cuando proceda, las responsabilidades respectivas del responsable del tratamiento, de los corresponsables del tratamiento y de los encargados del tratamiento implicados en el tratamiento, en particular para el tratamiento dentro de un grupo de empresas;
- (b) los fines y medios del procesamiento previsto;
- c) las medidas y salvaguardias previstas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
- d) cuando proceda, los datos de contacto del delegado de protección de datos;
- e) la evaluación de impacto de la protección de datos prevista en el artículo 35; y
- f) cualquier otra información solicitada por la autoridad de control.
- Los Estados miembros consultarán a la autoridad de control durante la preparación de una propuesta de medida legislativa que deba adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que esté relacionada con el tratamiento.
- Sin perjuicio del apartado 1, la legislación de los Estados miembros podrá exigir a los responsables del tratamiento que consulten con la autoridad de control y obtengan su autorización previa en relación con el tratamiento por parte de un responsable del tratamiento para el desempeño de una tarea llevada a cabo por el responsable en interés público, incluido el tratamiento en relación con a la protección social y la salud pública.
Versión del RGPD del Reino Unido
Consulta Previa
- El responsable del tratamiento consultará al Comisionado antes del tratamiento cuando una evaluación de impacto de la protección de datos conforme al artículo 35 indique que el tratamiento daría lugar a un riesgo elevado en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo.
- Cuando el Comisario considere que el tratamiento previsto a que se refiere el apartado 1 infringe el presente Reglamento, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, el Comisario, en un plazo de hasta ocho semanas a partir de la recepción de la solicitud, para consultas, proporcionar asesoramiento por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá hacer uso de cualquiera de sus facultades a que se refiere el artículo 58. Dicho plazo podrá ampliarse en seis semanas, teniendo en cuenta la complejidad del tratamiento previsto. El Comisario informará al responsable y, en su caso, al encargado, de dicha prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta junto con los motivos del retraso. Dichos plazos podrán suspenderse hasta que el Comisionado haya obtenido la información que haya solicitado para los efectos de la consulta.
- Al consultar al Comisario de conformidad con el apartado 1, el responsable del tratamiento proporcionará a la autoridad de control:
- a) cuando proceda, las responsabilidades respectivas del responsable del tratamiento, de los corresponsables del tratamiento y de los encargados del tratamiento implicados en el tratamiento, en particular para el tratamiento dentro de un grupo de empresas;
- (b) los fines y medios del procesamiento previsto;
- c) las medidas y salvaguardias previstas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
- d) cuando proceda, los datos de contacto del delegado de protección de datos;
- e) la evaluación de impacto de la protección de datos prevista en el artículo 35; y
- f) cualquier otra información solicitada por la autoridad de control.
- La autoridad pertinente debe consultar al Comisario durante la preparación de una propuesta de medida legislativa que deberá adoptar el Parlamento, la Asamblea Nacional de Gales, el Parlamento de Escocia o la Asamblea de Irlanda del Norte, o de una medida reglamentaria basada en dicha medida legislativa. que se relaciona con el procesamiento.
- 4A. En el párrafo 4, “la autoridad pertinente” significa: (a) en relación con una medida legislativa adoptada por el Parlamento, o una medida reglamentaria basada en dicha medida legislativa, el Secretario de Estado; (b) en relación con una medida legislativa adoptada por la Asamblea Nacional de Gales, o una medida reglamentaria basada en dicha medida legislativa, los Ministros de Gales; (c) en relación con una medida legislativa adoptada por el Parlamento escocés, o una medida reglamentaria basada en dicha medida legislativa, los Ministros escoceses; (d) en relación con una medida legislativa adoptada por la Asamblea de Irlanda del Norte, o una medida reglamentaria basada en dicha medida legislativa, el Departamento de Irlanda del Norte correspondiente.
- Sin perjuicio del apartado 1, la legislación de los Estados miembros podrá exigir a los responsables del tratamiento que consulten con la autoridad de control y obtengan su autorización previa en relación con el tratamiento por parte de un responsable del tratamiento para el desempeño de una tarea llevada a cabo por el responsable en interés público, incluido el tratamiento en relación con a la protección social y la salud pública.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 5.2.2 (Comprensión de las necesidades y expectativas de las partes interesadas) y artículo 36 del RGPD UE
En esta sección hablamos de los artículos 36(1), 36(2), 36(3)(a), 36(3)(b), 36(3)(c), 36(3)(d), 36 (3)(e), 36 (3)(f) y 36 (5)
La PII y la protección de la privacidad tienen el potencial de afectar a una gran cantidad de empleados, usuarios y clientes, tanto interna como externamente.
Las organizaciones necesitan obtener una comprensión firme de las necesidades de cualquier personal afectado y de lo que ISO considera "partes interesadas".
Necesidad de la organización de establecer y documentar:
- Cualquier "parte interesada" que sea relevante para el tema más amplio de la protección de la privacidad.
- Cuáles son los requisitos únicos de dichas personas dentro del alcance de un PIMS.
Las organizaciones también deben tener en cuenta cualquier obligación legal, reglamentaria o contractual, junto con los requisitos prácticos y operativos.
Al implementar un PIMS, las organizaciones deben trazar una lista de partes interesadas que se ven afectadas por un PIMS o que tienen un papel que desempeñar en el procesamiento de la PII.
En lo que respecta a la PII, una parte interesada podría ser una de las siguientes (pero no limitada a):
- Un empleado.
- Un cliente.
- Autoridades reguladoras, judiciales o de supervisión.
- Otros controladores y procesadores de PII.
Es importante tener en cuenta que los requisitos de PII (en relación con un PIMS) a menudo emanan de una amplia gama de fuentes, que incluyen:
- Procesos y objetivos internos.
- Organismos gubernamentales y/o reguladores.
- Obligaciones contractuales con terceras organizaciones.
A menudo puede resultar difícil para las organizaciones gubernamentales y reguladoras confirmar el cumplimiento de los estándares de protección de la privacidad publicados por parte de una organización, en su función como procesador y controlador de PII.
Como tal, las organizaciones deben esperar que dichos organismos soliciten revisiones independientes de cualquier Sistema de Gestión relevante, para satisfacer sus propios requisitos de auditoría.
ISO 27701 Cláusula 7.2.5 (Evaluación de impacto en la privacidad) y artículo 36 del RGPD UE
En esta sección hablamos de los artículos 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) y 36 (5)
El procesamiento de PII es una función empresarial de alto riesgo que debe evaluarse minuciosamente para garantizar la integridad, autenticidad y legalidad de los datos que se procesan.
Dependiendo de la jurisdicción, algunas organizaciones deberán cumplir con una lista categórica de escenarios en los que se requiere una evaluación del impacto en la privacidad, como por ejemplo:
- Toma de decisiones automatizada.
- Procesamiento a nivel empresarial de categorías especiales de PII.
- Monitorización de grandes áreas públicas.
Las organizaciones deben establecer qué constituye una evaluación de impacto adecuada, que incluye (pero no se limita a):
- Qué tipo de PII se almacena.
- Dónde se almacena.
- Dónde se puede reubicar.
Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 36 (1) a 36 (5) del RGPD UE | ISO 27701 5.2.2 | Nona |
| Artículos 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) y 36 (5) del RGPD de la UE | ISO 27701 7.2.5 | Nona |
Cómo ayuda ISMS.online
Apoyar decisiones comerciales más amplias. Con todos sus datos en un solo lugar, diseñado pensando en la colaboración, estará bien equipado para tomar las decisiones correctas en el momento adecuado.
Manténgase a la vanguardia del cambio. Los riesgos no son estáticos, por lo que sus herramientas deben poder adaptarse. Aborde sin esfuerzo las amenazas y oportunidades utilizando una herramienta integrada y dinámica que simplifica la identificación, evaluación y tratamiento del riesgo de forma continua.
Descubre más por reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
