Nuevas notificaciones de violaciones de seguridad

Los análisis de riesgos y la evaluación de impacto

Evaluación de impacto y consulta previa

1. Análisis de riesgos
Todo tratamiento de datos personales implica que haya que considerar el riesgo,
siendo la aproximación basada en el riesgo el criterio fundamental en torno al que
gira el RGPD. Tal es la relevancia de este concepto que se convierte en un
elemento central del principio de responsabilidad o accountability. Este criterio se
concreta en el art. 35 del RGPD cuando habla de la introducción de la obligación
para el responsable de realizar, antes de tratar los datos personales, una
evaluación de impacto relativa a la protección de datos, entre otros posibles
supuestos, cuando sea probable que un tipo de tratamiento, en particular si utiliza
nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto
riesgo para los derechos y libertades de las personas físicas.
A pesar de que el Reglamento no lo hace, definiremos riesgo como la contingencia
o proximidad de un daño para
para la persona derivado del tratamiento de sus datos
personales,
personales pero también de un riesgo de incumplimiento que produciría un daño
para la persona en su derecho fundamental a la protección de datos personales.
Aun así, podemos acudir al Considerando 851 que hace referencia a las violaciones
de seguridad para acercarnos a su dimensión.
Tampoco existe una definición de lo que se considera como “alto riesgo”, aunque
sí que ofrece criterios para considerar qué es un alto riesgo,
riesgo como son la
sensibilidad de los datos personales y las consecuencias que pueda tener para la
persona el tratamiento de sus datos personales, lo que determinará que el
responsable tenga que realizar una evaluación de impacto o una consulta previa a
la autoridad de control.
2. La evaluación
valuación de impacto
Con la aprobación del RGPD se ha dado un paso adelante en la definición de las
Privacy Impact Assestment (PIA) o Evaluaciones de Impacto de Protección de
Datos (EIPD).
Así, en su Considerando 842 el RGPD indica que, en aquellos casos en los que sea
probable que las operaciones de tratamiento entrañen un alto riesgo para los

1
Consideran
Considerando 85:
85 Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de
los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las
personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos,
discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la
seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto
profesional, o cualquier otro perjuicio económico o social significativo para la persona física en
cuestión (…)
2
Considerando 84:
84 A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos
en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los
derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la
realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto

derechos y libertades de las personas físicas, incumbe al responsable del

tratamiento la realización de una evaluación de impacto relativa a la protección de
datos, que evalúe, en particular: el origen, la naturaleza, la particularidad y la
gravedad de dicho riesgo.
riesgo
El resultado de la evaluación debe tenerse en cuenta cuando se decidan las
medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento
de los datos personales es conforme con el RGPD. De forma que, si una evaluación
de impacto relativa a la protección de datos muestra que las operaciones de
tratamiento entrañan un alto riesgo que el responsable no puede mitigar con
medidas adecuadas en términos de tecnología disponible y costes de aplicación,
debe consultarse a la autoridad de control antes del tratamiento.
Estos tipos de operaciones de tratamiento pueden ser, en particular: los que
implican el uso de nuevas tecnologías; los que son de una nueva clase y el
responsable del tratamiento no ha realizado previamente una evaluación de
impacto relativa a la protección de datos; y los que cuando, visto el tiempo
transcurrido desde el tratamiento inicial, resulte necesario llevar a cabo la
evaluación de impacto.
Así, en tales casos, el responsable debe llevar a cabo, antes del tratamiento, una
evaluación de impacto relativa a la protección de datos con el fin de valorar la
particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza,
ámbito, contexto y fines del tratamiento y los orígenes del riesgo.
riesgo Dicha evaluación
de impacto debe incluir, en particular, las medidas, garantías y mecanismos
previstos para mitigar el riesgo, garantizar la protección de los datos personales y
demostrar la conformidad con el RGPD.
El Considerando 91 aclara que, sin lugar a dudas, ello deberá aplicarse (y por tanto
la evaluación de impacto
impacto será obligatoria),
obligatoria en particular:
• En las operaciones de tratamiento a gran escala que persiguen tratar
una cantidad considerable de datos personales a nivel regional, nacional
o supranacional y que podrían afectar a un gran número de interesados
y entrañen probablemente un alto riesgo, por ejemplo, debido a su
sensibilidad, cuando, en función del nivel de conocimientos técnicos
alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras
operaciones de tratamiento que entrañan un alto riesgo para los
derechos y libertades de los interesados, en particular cuando estas

particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de

la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban
tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el
presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que
las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con
medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse
a la autoridad de control antes del tratamiento.
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto

operaciones hace más difícil para los interesados el ejercicio de sus

derechos.
• En los casos en los que se tratan datos personales para adoptar
decisiones relativas a personas físicas concretas a raíz de una
evaluación sistemática y exhaustiva de aspectos personales propios de
personas físicas, basada en la elaboración de perfiles de dichos datos o
a raíz del tratamiento de categorías especiales de datos personales,
datos biométricos o datos sobre condenas e infracciones penales o
medidas de seguridad conexas.
• Y también en los casos de tratamiento de datos para el control de zonas
de acceso público a gran escala, en particular cuando se utilicen
dispositivos optoelectrónicos o para cualquier otro tipo de operación
cuando la autoridad de control competente considere que el
tratamiento entrañe probablemente un alto riesgo para los derechos y
libertades de los interesados, en particular porque impida a los
interesados ejercer un derecho o utilizar un servicio o ejecutar un
contrato, o porque se efectúe sistemáticamente a gran escala.
• El Considerando 92 también indica que hay circunstancias en las que
puede ser razonable y económico que una evaluación de impacto
relativa a la protección de datos abarque más de un único proyecto (por
ejemplo, en el caso de que las autoridades u organismos públicos
prevean crear una aplicación o plataforma común de tratamiento, o si
varios responsables proyecten introducir una aplicación o un entorno
de tratamiento común en un sector o segmento empresarial o para una
actividad horizontal de uso generalizado).
La gran cuestión que se plantea en el RGPD y que no tiene una respuesta precisa
es la de qué debe entenderse por “tratamiento a gran escala”.
En el contexto negativo, el RGPD indica que, el tratamiento de datos personales
no debe considerarse a gran escala si lo realiza, respecto de datos personales de
pacientes o clientes, un solo médico, otro profesional de la salud o abogado. Por
tanto, en estos casos, la evaluación de impacto de la protección de datos no debe
ser obligatoria.
Por otro lado, el RGPD impone a los responsables en su Considerando 94 la
obligación de realizar una consulta a la autoridad de control,
control antes de iniciar las
actividades de tratamiento, en los casos en que, una evaluación de impacto
relativa a la protección de datos muestre que, en ausencia de garantías, medidas
de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento
entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y
el responsable del tratamiento considera que el riesgo no puede mitigarse por
medios razonables en cuanto a tecnología disponible y costes de aplicación. Según
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto

el mismo considerando, existe la probabilidad de que ese alto riesgo se deba a

determinados tipos de tratamiento y al alcance y frecuencia de este, lo que
también puede ocasionar daños y perjuicios o una injerencia en los derechos y
libertades de la persona física.
En cualquier caso, la autoridad de control deberá responder a la solicitud de
consulta dentro de un plazo determinado, aunque, por otro lado, la ausencia de
respuesta de la autoridad de control dentro de dicho plazo no debe obstar a
cualquier intervención de dicha autoridad basada en las funciones y poderes que
le atribuye el RGPD, incluido el poder de prohibir operaciones de tratamiento.
Más allá de los considerandos del RGPD, el texto articulado se refiere
concretamente a las evaluaciones de impacto y a la consulta previa, en sus
artículos 35 y 36.
Una única evaluación podrá abordar una serie de operaciones de tratamiento
similares que entrañen altos riesgos similares. El responsable del tratamiento
recabará el asesoramiento del delegado de protección de datos, si ha sido
nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
En todo caso, la disposición indica que la autoridad de control establecerá y
publicará una lista de los tipos de operaciones de tratamiento que requieran una
evaluación de impacto relativa a la protección de datos, lo cual indudablemente
será de gran interés y ayuda para los responsables del tratamiento. E igualmente
la disposición indica que la autoridad de control podrá asimismo establecer y
publicar la lista de los tipos de tratamiento que no requieren evaluaciones de
impacto relativas a la protección de datos.
En este sentido (en el marco de la cooperación y mecanismos de coherencia) el
RGPD establece que, el Comité de Protección de Datos deberá emitir un dictamen,
siempre que una autoridad de control competente en un Estado miembro
proyecte adoptar una lista de las operaciones de tratamiento supeditadas al
requisito de la evaluación de impacto relativa a la Protección de Datos y, en
cualquier caso, la autoridad de control deberá comunicar estas listas al Comité de
Protección de Datos y además, antes de adoptar las listas indicadas, la autoridad
de control aplicará el mecanismo de coherencia en particular si esas listas incluyen
actividades de tratamiento que guarden relación con (a) la oferta de bienes o
servicios a interesados o (b) con la observación del comportamiento de estos en
varios Estados miembros, o (c) actividades de tratamiento que puedan afectar
sustancialmente a la libre circulación de datos personales en la Unión.
Volviendo a las características de la Evaluación de Impacto, el contenido mínimo
que deberá tener, sería una descripción sistemática de las operaciones de
tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el
interés legítimo perseguido por el responsable del tratamiento; una evaluación de
la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto

a su finalidad; una evaluación de los riesgos para los derechos y libertades de los
interesados, y las medidas previstas para afrontar los riesgos, incluidas garantías,
medidas de seguridad y mecanismos que garanticen la protección de datos
personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas afectadas.
También se tendrá en cuenta el cumplimiento de los códigos de conducta
aprobados por los responsables o encargados correspondientes.
Además de lo anterior, cuando proceda, el responsable recabará la opinión de los
interesados o de sus representantes en relación con el tratamiento previsto, sin
perjuicio de la protección de intereses públicos o comerciales o de la seguridad de
las operaciones de tratamiento.
Cuando el tratamiento tenga su base jurídica en el Derecho de la Unión o en el
Derecho del Estado miembro que se aplique al responsable del tratamiento, y ya
se haya realizado una evaluación de impacto relativa a la protección de datos
como parte de una evaluación de impacto general en el contexto de la adopción
de dicha base jurídica, no será necesario realizar la evaluación de impacto excepto
si los Estados miembros consideran necesario proceder a dicha evaluación previa
a las actividades de tratamiento.
Finalmente, visto todo lo anterior, se deberá tener en cuenta que, una vez
realizada la evaluación de impacto, cuando sea necesario, el responsable
examinará si el tratamiento es conforme con la evaluación de impacto relativa a la
protección de datos, al menos cuando exista un cambio del riesgo que representen
las operaciones de tratamiento.
Y con relación a la llamada “Consulta
Consulta Previa”
Previa según lo establecido en el artículo 36
el responsable deberá consultar a la autoridad de control antes de proceder al
tratamiento de datos en los casos en que una Evaluación de Impacto relativa a la
protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el
responsable no toma medidas para mitigarlo.
Además, los casos que menciona el artículo 36 como supuestos de obligada
consulta se dan durante la elaboración de toda propuesta de medida legislativa
que haya de adoptar un Parlamento nacional, o de una medida reglamentaria
basada en dicha medida legislativa, que se refiera al tratamiento. Y, además de la
consulta a la autoridad de control, se podrá exigir la necesidad de recabar la
autorización previa en relación con un tratamiento por un responsable, en el
ejercicio de una misión realizada en interés público y, en particular el tratamiento
en relación con la protección social y la salud pública.
En cuanto al contenido de la consulta, según el RGPD, cuando consulte a la
autoridad de control, el responsable del tratamiento le facilitará la información
relativa a las responsabilidades respectivas del responsable, los corresponsables y
los encargados implicados en el tratamiento, en particular en caso de tratamiento
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto

dentro de un grupo empresarial; los fines y medios del tratamiento previsto; las
medidas y garantías establecidas para proteger los derechos y libertades de los
interesados de conformidad con el RGPD; en su caso, los datos de contacto del
delegado de protección de datos; la evaluación de impacto relativa a la protección
de datos y cualquier otra información que solicite la autoridad de control.
Así, cuando la autoridad de control considere que el tratamiento previsto podría
infringir el RGPD, en particular cuando el responsable no haya identificado o
mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de
ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable,
y en su caso al encargado. Dicho plazo podrá prorrogarse seis semanas, en función
de la complejidad del tratamiento previsto.
Por último, es importante mencionar dos cuestiones más relacionadas con la
evaluación de impacto y la consulta previa.
Por un lado, que entre las funciones que el RGPD establece para el delegado de
protección de datos se encuentra la de ofrecer el asesoramiento que se le solicite
acerca de la evaluación de impacto relativa a la protección de datos y supervisar
su aplicación de conformidad con el RGPD así como cooperar con la autoridad de
control y actuar como punto de contacto de la autoridad de control para
cuestiones relativas al tratamiento, incluida la consulta previa, además de realizar
consultas, en su caso, sobre cualquier otro asunto.
Por otro lado, que, con relación a las relaciones entre el responsable del
tratamiento y el encargado del tratamiento, el RGPD impone al encargado del
tratamiento la obligación de asistir al responsable cuando sea necesario y a
petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de
la realización de las evaluaciones de impacto relativas a la protección de datos y
de la consulta previa a la autoridad de control.
Nuevas notificaciones de violaciones de seguridad
El registro de actividades de tratamiento

Registro de actividades
El Reglamento se encarga en su art. 30 de recoger la obligación del registro de los
tratamientos para toda empresa de 250 empleados o más, salvo que el tratamiento
que realice pueda entrañar un riesgo para los derechos y libertades de los
interesados que no sea ocasional o incluya categorías especiales de datos
personales o datos personales relativos a condenas e infracciones penales, en
cuyo caso se aplicará a todas. Estos registros constarán siempre por escrito,
aunque sea en formato electrónico.
Para ello, obliga a que cada responsable y, en su caso, su representante, lleve un
registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Dicho registro deberá contener:
contener los datos de contacto del responsable o
responsables, su representante y del delegado de protección de datos (si los hay);
los fines del tratamiento; una descripción de las categorías de interesados y de las
categorías de datos personales; las categorías de destinatarios a quienes se
comunicarán los datos personales; en su caso, las transferencias de datos
personales a un tercer país o una organización internacional y la acreditación de
las garantías adecuadas en los casos en que sea necesario; cuando sea posible, los
plazos previstos para la supresión de las diferentes categorías de datos y una
descripción general de las medidas técnicas y organizativas de seguridad.
Esta obligación afectará también al encargado y, en su caso, al representante del
encargado. El registro se llevará a cabo por cuenta del responsable y contendrá:
el nombre y los datos de contacto del encargado o encargados y de cada
responsable por cuenta del cual actúe el encargado, y, en su caso, del
representante del responsable o del encargado, y del delegado de protección de
datos; las categorías de tratamientos efectuados por cuenta de cada responsable;
en su caso, las transferencias de datos personales a un tercer país u organización
internacional, incluida la identificación de dicho tercer país u organización
internacional y, cuando sea preciso, la documentación de las garantías adecuadas
y, por último, cuando sea posible, una descripción general de las medidas técnicas
y organizativas de seguridad.
Este registro quedará a disposición de la autoridad de control que lo solicite.
Nuevas notificaciones de violaciones de seguridad
La figura del delegado de protección de datos

El delegado de protección de datos

La figura del Delegado de Protección de Datos (DPD) o Data Protection Officer
(DPO) no es nueva en el contexto europeo (tiene su origen en una ley federal
alemana de 1977), ya que la Directiva 95/46 CE daba libertad para que los Estados
Miembros regularan su inclusión (como así hicieron Francia, Suecia, Luxemburgo
o los Países Bajos). Sin embargo, no ha sido hasta ahora, con el RGPD, que se ha
impuesto con carácter general en todo el ámbito europeo, y tiene como misión
fundamental,
fundamental en países como España, ajenos hasta ahora a su perfil, además de
sus funciones específicas que luego detallaremos, fomentar
fomentar la cultura del derecho
a la protección de datos.
La Comisión Europea define al DPD como la persona responsable, en el seno de
un responsable de tratamiento o un encargado del tratamiento, de supervisar y
monitorear de manera independiente la aplicación interna y el respeto de las
normas sobre protección de datos. El DPD puede ser tanto un empleado interno
como un consultor externo1.
El RGPD regula al DPD en el art. 37 aunque no resuelve la pregunta de quién
puede ser delegado de protección de datos, si debe tratarse de un profesional
jurídico o de un profesional de otras áreas profesionales. La referencia a que deba
tener conocimientos especializados en Derecho puede hacer pensar que debe
tratarse de profesionales jurídicos, pero eso no impide que otros profesionales
que hayan adquirido dichos conocimientos puedan ser designados como tales.
En cualquier caso, los conocimientos especializados deberían ser el resultado de
una formación homologada y los necesarios para identificar los riesgos asociados
a las operaciones de tratamiento.
El responsable y el encargado del tratamiento designarán un delegado de
protección de datos siempre que:que el tratamiento lo lleve a cabo una autoridad u
organismo público, excepto los tribunales que actúen en ejercicio de su función
judicial; las actividades principales del responsable o del encargado consistan en
operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines,
requieran una observación habitual y sistemática de interesados a gran escala, o
las actividades principales del responsable o del encargado consistan en el

1
Comisión Europea, Commission Staff Working Paper, Impact Assesment, Accompanying the
Document Regulation of the European Parliament and of the Council on the Protection of
Individuals with Regard to the Processing of Personal Data and on the Free Movement of such
Data (General Data Protection Regulation) and Directive of the European Parliament and of the
Council on the Protection of Individuals with Regard to the Processing of Personal Data by
Competent Authorities for the Purposes of Prevention, Investigation, Detection or Prosecution
of Criminal Offences Or the Execution of Criminal Penalties, and the Free Movement of such Data,
SEC (2012) 72 Final, Bruselas, 25 de enero de 2012. Disponible, en inglés, en http://eur-
lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52012SC0072&qid=1465747910049&from=ES
Nuevas notificaciones de violaciones de seguridad
La figura del delegado de protección de datos

tratamiento a gran escala de categorías especiales de datos personales y de datos

relativos a condenas e infracciones penales.
Por lo que se refiere a la posición del DPD, puede ser tanto un
un empleado como un
consultor externo y lo fundamental es que en la práctica sea apreciado como una
de las personas clave para asegurar la gobernanza de la organización, sea esta
pública o privada, en materia de protección de datos.
Es decir, acudir al DPD para obtener asesoramiento, supervisar el cumplimiento y
desempeñar otras funciones que son básicas para asegurar la responsabilidad
(accountability) tanto del responsable como, en su caso, del encargado del
tratamiento, debe ser un procedimiento estándar.
Además el DPD tiene que estar en una posición que permita una comunicación
efectiva con los interesados cuyos datos personales con objeto de tratamiento y
cooperación con las autoridades de control o supervisión y debe desempeñar sus
funciones de manera independiente, a través de una comunicación efectiva con
las partes interesadas, y también de manera que pueda contribuir a desarrollar el
nuevo marco de gobernanza de datos que establece el Reglamento, y que se basa
fundamentalmente en el principio de responsabilidad (accountability).
El RGPD regula las funciones mínimas que debe tener un DPD:
Informar y asesorar al responsable o al encargado del tratamiento y a los
empleados que se ocupen del tratamiento de los datos personales; supervisar el
cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de
protección de datos de la Unión o de los Estados miembros y de las políticas del
responsable o del encargado del tratamiento en materia de protección de datos
personales, incluida la asignación de responsabilidades, la concienciación y
formación del personal que participa en las operaciones de tratamiento, y las
auditorías correspondientes; ofrecer el asesoramiento que se le solicite acerca de
la evaluación de impacto relativa a la protección de datos y supervisar su
aplicación de conformidad; cooperar con la autoridad de control; actuar como
punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre
cualquier otro asunto.
El DPD desempeñará sus funciones prestando la debida atención a los riesgos
asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el
alcance, el contexto y fines del tratamiento.
Una cuestión esencial a considerar es la independencia del DPD. Para garantizarla,
el RGPD incluye en su art. 38 dos importantes obligaciones del responsable o
encargado: “facilitando los recursos necesarios para el desempeño de dichas
funciones y el acceso a los datos personales y a las operaciones de tratamiento, y
para el mantenimiento de sus conocimientos especializados” y que el responsable
o encargado “garantizarán que el delegado de protección de datos no reciba
Nuevas notificaciones de violaciones de seguridad
La figura del delegado de protección de datos

ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será

destituido ni sancionado por el responsable o el encargado por desempeñar sus
funciones. El delegado de protección de datos rendirá cuentas directamente al
más alto nivel jerárquico del responsable o encargado”.
Es decir, la clave está en considerar la independencia como garantía de la
autonomía de actuación del DPD,
DPD lejos de injerencias o conflictos de interés por el
posible desempeño de otras funciones.
En resumen, la figura del delegado de protección de datos es, como consecuencia
del Reglamento, una novedad en España. No obstante, dicha figura cuenta con
una larga trayectoria en otros países.
Se trata de una figura relevante.
relevante Su papel es fundamental para demostrar la
responsabilidad (accountability) y para otras funciones relevantes, pudiendo ser
un actor clave para fomentar la economía digital al ser el profesional jurídico en
mejor situación para asegurar el desarrollo de políticas públicas y acciones
dirigidas a impulsar una innovación tecnológica que preserve la necesaria armonía
con los derechos y valores fundamentales.
Cabe resaltar también que su independencia (que no le libera de ser responsable
de sus actuaciones), es la clave y garantía de una protección efectiva por lo que se
refiere al derecho fundamental a la protección de datos.
EVALUACIÓN DE IMPACTO Y CONSULTA PREVIA
1. Análisis de riesgos
Todo tratamiento de datos personales implica que haya que considerar el riesgo, siendo la aproximación
basada en el riesgo el criterio fundamental en torno al que gira el RGPD. Tal es la relevancia de este
concepto que se convierte en un elemento central del principio de responsabilidad o accountability.
2. La evaluación del impacto
El RGPD indica que, en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen
un alto riesgo para los derechos y libertades de las personas físicas, incumbe al responsable del tratamiento
la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular: el
origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

REGISTRO DE ACTIVIDADES
El Reglamento se encarga en su art. 30 de recoger la obligación del registro de los tratamientos para toda
empresa de 250 empleados o más, salvo que el tratamiento que realice pueda entrañar un riesgo para los
derechos y libertades de los interesados que no sea ocasional o incluya categorías especiales de datos
personales o datos personales relativos a condenas e infracciones penales, en cuyo caso se aplicará a todas.
Estos registros constarán siempre por escrito, aunque sea en formato electrónico.
Para ello, obliga a que cada responsable y, en su caso, su representante, lleve un registro de las actividades
de tratamiento efectuadas bajo su responsabilidad.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

- Delegado de Protección de Datos (DPD): La Comisión Europea define al DPD como la persona
responsable, en el seno de un responsable de tratamiento o un encargado del tratamiento, de
supervisar y monitorear de manera independiente la aplicación interna y el respeto de las normas sobre
protección de datos. El DPD puede ser tanto un empleado interno como un consultor externo.
- Designar un DPD: El responsable y el encargado del tratamiento designarán un Delegado de Protección
de Datos siempre que: el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los
tribunales que actúen en ejercicio de su función judicial; las actividades principales del responsable o
del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o
fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades
principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías
especiales de datos personales y de datos relativos a condenas e infracciones penales.
- Funciones mínimas de un DPD: Informar y asesorar al responsable o al encargado del tratamiento y a
los empleados que se ocupen del tratamiento de los datos personales; supervisar el cumplimiento de
lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los
Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de
protección de datos personales, incluida la asignación de responsabilidades, la concienciación y
formación del personal que participa en las operaciones de tratamiento, y las auditorías
correspondientes; ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto
relativa a la protección de datos y supervisar su aplicación de conformidad; cooperar con la autoridad
de control; actuar como punto de contacto de la autoridad de control para cuestiones relativas al
tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.
NUEVAS NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD:
1. Evaluación de impacto:
- Es obligatoria para datos a gran escala, categorías especiales, etc.
- Contenido mínimo: origen, naturaleza, gravedad del riesgo.
- Obligación de consulta previa cuando no hay garantías.
2. Consulta previa:
- Obligatoria cuando no hay garantías en la evaluación de impacto.
- Se debe facilitar información sobre le delegado de protección, los fines del tratamiento, los
resultados de la evaluación, etc.
3. Riesgo de actividades:
- Obligatorio para empresas de más de 250 empleados, si hay datos de especial riesgo, o se tratan
categorías especiales.
- Contenido: datos de responsable/encargado, fines, categorías, plazo de conservación, medidas
de seguridad, etc.
4. Delegado de protección de datos:
- Requisitos: conocimientos en derecho: puede ser externo o interno.
- Funciones: información, supervisión, formación…
- Figura independiente.