RGPD Artículo 36 describe la obligación de una organización de consultar con una 'autoridad de control' antes de llevar a cabo una EIPD (ver Artículo 35), a fin de proteger aún más los derechos y libertades de los interesados durante toda la operación de procesamiento.
Consulta Previa
- El responsable del tratamiento consultará a la autoridad de control antes del tratamiento cuando una evaluación de impacto de la protección de datos conforme al artículo 35 indique que el tratamiento daría lugar a un riesgo elevado en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo.
- Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 infringe el presente Reglamento, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, la autoridad de control, en un plazo de hasta ocho semanas a partir de la recepción de la la solicitud de consulta, proporcionar asesoramiento por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá hacer uso de cualquiera de sus facultades mencionadas en el artículo 58. Dicho plazo podrá ampliarse en seis semanas, teniendo en cuenta la complejidad del tratamiento previsto. . La autoridad de control informará al responsable y, en su caso, al encargado, de dicha prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta junto con los motivos del retraso. Dichos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información que haya solicitado a efectos de la consulta.
- Al consultar a la autoridad de control de conformidad con el apartado 1, el responsable del tratamiento proporcionará a la autoridad de control:
- a) cuando proceda, las responsabilidades respectivas del responsable del tratamiento, de los corresponsables del tratamiento y de los encargados del tratamiento implicados en el tratamiento, en particular para el tratamiento dentro de un grupo de empresas;
- (b) los fines y medios del procesamiento previsto;
- c) las medidas y salvaguardias previstas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
- d) cuando proceda, los datos de contacto del delegado de protección de datos;
- e) la evaluación de impacto de la protección de datos prevista en el artículo 35; y
- f) cualquier otra información solicitada por la autoridad de control.
- Los Estados miembros consultarán a la autoridad de control durante la preparación de una propuesta de medida legislativa que deba adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que esté relacionada con el tratamiento.
- Sin perjuicio del apartado 1, la legislación de los Estados miembros podrá exigir a los responsables del tratamiento que consulten con la autoridad de control y obtengan su autorización previa en relación con el tratamiento por parte de un responsable del tratamiento para el desempeño de una tarea llevada a cabo por el responsable en interés público, incluido el tratamiento en relación con a la protección social y la salud pública.
Consulta Previa
- El responsable del tratamiento consultará al Comisionado antes del tratamiento cuando una evaluación de impacto de la protección de datos conforme al artículo 35 indique que el tratamiento daría lugar a un riesgo elevado en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo.
- Cuando el Comisario considere que el tratamiento previsto a que se refiere el apartado 1 infringe el presente Reglamento, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, el Comisario, en un plazo de hasta ocho semanas a partir de la recepción de la solicitud, para consultas, proporcionar asesoramiento por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá hacer uso de cualquiera de sus facultades a que se refiere el artículo 58. Dicho plazo podrá ampliarse en seis semanas, teniendo en cuenta la complejidad del tratamiento previsto. El Comisario informará al responsable y, en su caso, al encargado, de dicha prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta junto con los motivos del retraso. Dichos plazos podrán suspenderse hasta que el Comisionado haya obtenido la información que haya solicitado para los efectos de la consulta.
- Al consultar al Comisario de conformidad con el apartado 1, el responsable del tratamiento proporcionará a la autoridad de control:
- a) cuando proceda, las responsabilidades respectivas del responsable del tratamiento, de los corresponsables del tratamiento y de los encargados del tratamiento implicados en el tratamiento, en particular para el tratamiento dentro de un grupo de empresas;
- (b) los fines y medios del procesamiento previsto;
- c) las medidas y salvaguardias previstas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
- d) cuando proceda, los datos de contacto del delegado de protección de datos;
- e) la evaluación de impacto de la protección de datos prevista en el artículo 35; y
- f) cualquier otra información solicitada por la autoridad de control.
- La autoridad pertinente debe consultar al Comisario durante la preparación de una propuesta de medida legislativa que deberá adoptar el Parlamento, la Asamblea Nacional de Gales, el Parlamento de Escocia o la Asamblea de Irlanda del Norte, o de una medida reglamentaria basada en dicha medida legislativa. que se relaciona con el procesamiento.
4A. En el párrafo 4, “la autoridad pertinente” significa: (a) en relación con una medida legislativa adoptada por el Parlamento, o una medida reglamentaria basada en dicha medida legislativa, el Secretario de Estado; (b) en relación con una medida legislativa adoptada por la Asamblea Nacional de Gales, o una medida reglamentaria basada en dicha medida legislativa, los Ministros de Gales; (c) en relación con una medida legislativa adoptada por el Parlamento escocés, o una medida reglamentaria basada en dicha medida legislativa, los Ministros escoceses; (d) en relación con una medida legislativa adoptada por la Asamblea de Irlanda del Norte, o una medida reglamentaria basada en dicha medida legislativa, el Departamento de Irlanda del Norte correspondiente.- Sin perjuicio del apartado 1, la legislación de los Estados miembros podrá exigir a los responsables del tratamiento que consulten con la autoridad de control y obtengan su autorización previa en relación con el tratamiento por parte de un responsable del tratamiento para el desempeño de una tarea llevada a cabo por el responsable en interés público, incluido el tratamiento en relación con a la protección social y la salud pública.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez
En esta sección hablamos de los artículos 36(1), 36(2), 36(3)(a), 36(3)(b), 36(3)(c), 36(3)(d), 36 (3)(e), 36 (3)(f) y 36 (5)
La PII y la protección de la privacidad tienen el potencial de afectar a una gran cantidad de empleados, usuarios y clientes, tanto interna como externamente.
Las organizaciones necesitan obtener una comprensión firme de las necesidades de cualquier personal afectado y de lo que ISO considera "partes interesadas".
Necesidad de la organización de establecer y documentar:
Las organizaciones también deben tener en cuenta cualquier obligación legal, reglamentaria o contractual, junto con los requisitos prácticos y operativos.
Al implementar un PIMS, las organizaciones deben trazar una lista de partes interesadas que se ven afectadas por un PIMS o que tienen un papel que desempeñar en el procesamiento de la PII.
En lo que respecta a la PII, una parte interesada podría ser una de las siguientes (pero no limitada a):
Es importante tener en cuenta que los requisitos de PII (en relación con un PIMS) a menudo emanan de una amplia gama de fuentes, que incluyen:
A menudo puede resultar difícil para las organizaciones gubernamentales y reguladoras confirmar el cumplimiento de los estándares de protección de la privacidad publicados por parte de una organización, en su función como procesador y controlador de PII.
Como tal, las organizaciones deben esperar que dichos organismos soliciten revisiones independientes de cualquier Sistema de Gestión relevante, para satisfacer sus propios requisitos de auditoría.
En esta sección hablamos de los artículos 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) y 36 (5)
El procesamiento de PII es una función empresarial de alto riesgo que debe evaluarse minuciosamente para garantizar la integridad, autenticidad y legalidad de los datos que se procesan.
Dependiendo de la jurisdicción, algunas organizaciones deberán cumplir con una lista categórica de escenarios en los que se requiere una evaluación del impacto en la privacidad, como por ejemplo:
Las organizaciones deben establecer qué constituye una evaluación de impacto adecuada, que incluye (pero no se limita a):
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 36 (1) a 36 (5) del RGPD UE | ISO 27701 5.2.2 | Ninguna |
| RGPD UE Artículos 36 (1), 36 (3) (a), 36 (3) (b), 36 (3) (c), 36 (3) (d), 36 (3) (e), 36 (3)(f) y 36 (5) | ISO 27701 7.2.5 | Ninguna |
Apoyar decisiones comerciales más amplias. Con todos sus datos en un solo lugar, diseñado pensando en la colaboración, estará bien equipado para tomar las decisiones correctas en el momento adecuado.
Manténgase a la vanguardia del cambio. Los riesgos no son estáticos, por lo que sus herramientas deben poder adaptarse. Aborde sin esfuerzo las amenazas y oportunidades utilizando una herramienta integrada y dinámica que simplifica la identificación, evaluación y tratamiento del riesgo de forma continua.
Descubre más por reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
