GUIA PRÁCTICA

DE Análisis de
riesgos en los
tratamientos
de datos
personales
sujetos al RGPD
 Índice
1. Introducción ..................................................................................................2

2. Consideraciones generales.....................................................................3
Conceptos generales sobre gestión de riesgos.............................................3
Gestión de riesgos, ¿qué implicaciones tiene en la protección
de los datos? .....................................................................................................5

3. Protección de datos desde el diseño y la gestión de riesgos:

¿Cuál debe ser la hoja de ruta a seguir? .................................................6
"Ɯ+& &Ń+6!&0"ļ,!")0 1&3&!!"0!"1/1*&"+1, ................................9
FACILITA: Herramienta para tratamientos de escaso riesgo .......................10
+ç)&0&0!")+" "0&!!!"/")&7/2+3)2 &Ń+!"*- 1,
Sobre la Protección de los Datos: ¿Cuándo se debe realizar
una EIPD? ..........................................................................................................11

4. Registro de actividades de tratamiento ............................................17

"0 /&- &Ń+ǿȅ2ć"02+/"$&01/,!" 1&3&!!"0!"1/1*&"+1,Ȅ..............17
01/2 12/ǿȅ.2ć!""&+ )2&/2+/"$&01/,!" 1&3&!!"0!"1/1*&"+1,Ȅ 18

5. Análisis básico de riesgos.........................................................................24

"0 /&- &Ń+!")0,-"/ &,+"0!" 1&3&!!"0!"1/1*&"+1, ................25
Gestión de riesgos por defecto .......................................................................28

6. Anexos..............................................................................................................33
6.1. Anexo I: Plantilla de análisis de la necesidad de la realización
de una EIPD ......................................................................................................33
ǛǽǗǽ+"5,ǿ)+1&))!"!"0 /&- &Ń+!")0 1&3&!!"0!"1/1*&"+1,..36
6.3. Anexo III: Plantilla para documentar el análisis básico de riesgos ......37
ǛǽǙǽ+"5,ǿ)+1&))!"/"$&01/,!" 1&3&!!"0!"1/1*&"+1,
(Responsable de tratamiento)........................................................................38
Ǜǽǚǽ+"5,ǿ)+1&))!"/"$&01/,!" 1&3&!!"0!"1/1*&"+1,.............39
(Encargado de tratamiento) ...........................................................................39

7. Referencias.....................................................................................................40

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

1
 I Introducción

1. Introducción
El 25 de mayo de 20180" 2*-)"+!,0ļ,0!"0!")"+1/!"+3&$,/!")Reglamento 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en cuanto al tratamiento y la libre circulación de datos personales, en ade-
)+1"Ǿ
ǽ"0!""0"*,*"+1,Ǿ0"/ç-)& )"")
60"/ç,)&$1,/&,") 2*-)&*&"+1,!"),0
/".2"/&*&"+1,06,)&$ &,+"0-/")/"0-,+0)"6")"+ /$!,!"1/1*&"+1,.2""01"&+ )26"Ǿ
entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos ,+")Ɯ+!""01)" "/
*"!&!0!"0"$2/&!!6 ,+1/,)-/$/+1&7/),0!"/" %,06)&"/1!"0!")0-"/0,+0ǽ

+1") ,+01+1""3,)2 &Ń+1" +,)Ń$& 6),0-/, "0,0!"1/+0#,/* &Ń+!&$&1).2"02#/"+

)0 1&3&!!"0!"1/1*&"+1,!"!1,0-"/0,+)"0Ǿ)/"#,/*!")/"$2) &Ń+!"-/,1" &Ń+
de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan
)-/,1" &Ń+!"),0!1,0-"/0,+)"0% &2++2"3,*,!"),*ç0!&+ç*& ,Ǿ"+#, !,"+)
$"01&Ń+ ,+1&+2!"),0/&"0$,0-,1"+ &)"00, &!,0)1/1*&"+1,!"0!"02!&0"ļ,ǽ

)!&0"ļ,!" 2!,!")0 1&3&!!"0!"1/1*&"+1,"02+0-" 1, )3"-/-,!"/$/+1&7/

),0!"/" %,06)&"/1!"0!"),0&+1"/"0!,0ǽ#0"!"!&0"ļ,!"2+1/1*&"+1,!"Ɯ+"")Ɲ2',
!"),0!1,0-"/0,+)"0Ǿ0ģ ,*,1,!,0),0")"*"+1,0.2"&+1"/3"+!/ç+),)/$,!")*&0*,ǽ
"&$2)*,!,Ǿ"0")*,*"+1,&!Ń+",-/!"Ɯ+&/)0medidas de control y seguridad para ga-
/+1&7/),0!"/" %,06)&"/1!"0!"),0&+1"/"0!,0 ,+"),'"1&3,!".2"2+1/1*&"+1,+7 
/"0-"1+!,),0/".2"/&*&"+1,0!"-/&3 &!!0, &!,0)+&3")!"/&"0$,).2""01ç"5-2"01,ǽ

$"+ &0-ļ,)!"/,1" &Ń+!"1,0țȜ%"),/!,)-/"0"+1"$2ģ-/)/"-

)&7 &Ń+!"+ç)&0&0!"/&"0$,0!")0 1&3&!!"0!"1/1*&"+1, ,+"),'"1&3,!""01)" "/
2+%,'!"/21-/#/,+1/2+"+#,.2",/&"+1!,/&"0$,0ǽ

$2ģ-"/0&$2",#/" "/!&/" 1/& "06,/&"+1 &,+"0-/"01)" "/2+%,'!"/21.2"-"/-

*&1 ,+1"*-)/)-/&3 &!!!"0!"")&+& &,Ǿ*"!&+1"2+"+#,.2"!"+ç)&0&0!"/&"0$,0Ǿ#-
cilitando el cumplimiento del RGPD.

),)/$,!""01$2ģ0"%/ç/"#"/"+ &),0+"5,0.2"0"&+ )26"+"+"01"!, 2*"+1,Ǿ"01,0+"5,0

pueden descargarse en formato editable desde la sección de publicaciones de la web de la AEPD.”

“Esta guía se ha creado con

")Ɯ+!""01)" "/*"!&!0
!"0"$2/&!!6 ,+1/,)-/
$/+1&7/),0!"/" %,06
libertades”

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

2
 II Consideraciones generales

2. Consideraciones generales
Conceptos generales sobre gestión de riesgos
Gestión de riesgos "0") ,+'2+1,!" 1&3&!!"061/"0.2"-"/*&1"+ ,+1/,)/)&+ "/1&-
!2*/"/")1&32+*"+7*"!&+1"2+0" 2"+ &!" 1&3&!!"0.2"&+ )26"+)&!"+1&-
Ɯ  &Ń+6"3)2 &Ń+!")/&"0$,Ǿ0ģ ,*,Ǿ)0*"!&!0-/02/"!2 &Ń+,*&1&$ &Ń+ǽ

$"01&Ń+!"/&"0$,00"-2"!"!&3&!&/"+tres etapas !&#"/"+ &!0ǿ&!"+1&Ɯ  &Ń+Ǿ)"3-

)2 &Ń+6")1/1*&"+1,!"),0/&"0$,0ǽ

!"+1&Ɯ /*"+706/&"0$,0

El riesgo0"!"/&3!")"5-,0& &Ń+*"+70Ǿ-,/1+1,Ǿ!"0!")-"/0-" 1&3!")-/&3 &-

!!Ǿ"0#2+!*"+1)"+1"+!"/.2ć"02+*"+76 Ń*,0"-2"!"+&!"+1&Ɯ /"0 "+/&,0!"
riesgo para los datos personales a partir de la misma.

Una *"+7"0 2).2&"/# 1,/!"/&"0$, ,+-,1"+ &)-/-/,3, /2+!ļ,,-"/'2& &,),0

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

3
 II Consideraciones generales

&+1"/"0!,00,/" 26,0!1,0!" /ç 1"/-"/0,+)0"/")&72+1/1*&"+1,ǽ&-,+"*,0")#, ,

en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:

Acceso ilegítimo a los datosǿȅ.2ć!ļ, 20/ģ.2"), ,+, &"/.2&"++,!""Ȅ  ,+Ɯ-

dencialidad

,!&Ɯ  &Ń+ +, 21,/&7! !" ),0 !1,0ǿ ȅ.2ć -"/'2& &, 20/ģ .2" "0123&"/ !ļ!, ,
corrupto? integridad

)&*&+ &Ń+!"),0!1,0ǿȅ.2ć-"/'2& &, 20/ģ+,1"+"/2+!1,,+,-,!"/21&)&7/),Ȅ

disponibilidad.

Un riesgo0"-2"!"!"Ɯ+&/ ,*,) ,*&+ &Ń+!")posibilidad de que se materialice una

*"+7 y sus consecuencias negativasǽ)+&3")!"/&"0$,0"*&!"0"$ů+02-/,&)&!!!"
*1"/&)&7/0"6")&*- 1,.2"1&"+""+ 0,!"% "/),ǽ0*"+706),0/&"0$,00, &!,0
"01ç+!&/" 1*"+1"/") &,+!,0Ǿ"+ ,+0" 2"+ &Ǿ&!"+1&Ɯ /),0/&"0$,00&"*-/"&*-)&  ,+-
siderar la amenaza que los puede originar.

Evaluar los riesgos

3)2/2+/&"0$,&*-)&  ,+0&!"//1,!,0),0-,0&)"0"0 "+/&,0"+),0 2)"0")/&"0$,0"

%/ģ"#" 1&3,ǽ"3)2 &Ń+!"/&"0$,0 ,+0&01""+valorar el impacto de la exposición a la
*"+7Ǿ'2+1,)probabilidad de que esta se materialice. El impacto, por su parte, se de-
1"/*&+"+0"),0-,0&)"0!ļ,0.2"0"-2"!"+-/,!2 &/0&)*"+70"*1"/&)&7Ǿ-,/
"'"*-),Ǿ2+&*- 1,0"/ģ!"0-/" &)"0&+,123&"/ ,+0" 2"+ &00,/"")&+1"/"0!,,Ǿ-,/
") ,+1//&,Ǿ2+&*- 1,0"/ģ0&$+&Ɯ 1&3,0&")!ļ,, 0&,+!,0,/"),0!"/" %,06)&"/1-

“Se define riesgo como

la combinación de la
posibilidad de que se
materialice una amenaza
6020 ,+0" 2"+ &0
+"$1&30ȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

4
 II Consideraciones generales

!"0!")&+1"/"0!,#2"0" /ģ1& ,ǽ"$ů+)-/,&)&!!6")&*- 1,Ǿ0, &!,0)0*"+70Ǿ

"0-,0&)"!"1"/*&+/")+&3")!"/&"0$,&+%"/"+1"ǽ

Tratar los riesgos

ů)1&*#0"!")-/, "0,!"$"01&Ń+!"/&"0$,0"01/1/),0*&0*,0ǽ),'"1&3,!"1/1/),0
riesgos es disminuir su nivel de exposición con medidas de control que permitan reducir la
-/,&)&!!6ȡ,&*- 1,!".2""01,00"*1"/&)& "+ǽ)/&"0$,&+%"/"+1"0"-2"!"1/1/ ,+
"),'"1&3,!"/"!2 &/,*&1&$/")*&0*,Ǿ"+#2+ &Ń+!")*"!&!.2"0"!,-1"Ǿ%010&12/
")/&"0$,/"0&!2)"+2++&3").2"0" ,+0&!"/"/7,+)"ǽ

Gestión de riesgos, ¿qué implicaciones tiene en la protección de los

datos?
$"01&Ń+!"/&"0$,0"02+ 1&3&!! ,*ů+%,6"+!ģ"+)0 ,*-ļģ0Ǿ21&)&7!"+*ů)1&-
-)"0ç*&1,06 ,+2+"+#,.2"!&/&$&!,),0-,1"+ &)"0!ļ,0,/&"0$,0),0.2""01ç"5-2"0-
1) ,*-ļģ ,+/"0-" 1,2+1&-,),$ģ ,+ /"1!"*"+70ǽ

El RGPD busca aprovechar las ventajas que ofrece la gestión de riesgos, pero introduce
2++2"33&0&Ń+Ǿ!,+!"")#, ,!"1"+ &Ń++,0" "+1/"+)0*"+70.2"0" &"/+"+0,-
/") ,*-ļģǾ "+1/+!,021"+ &Ń+"+)0*"+700,/"),0!"/" %,06)&"/1!"0!"
),0&+1"/"0!,0ǽ"3)2 &Ń+!"),0/&"0$,0!""0"/")/"02)1!,!"2+/"Ɲ"5&Ń+0,/")0
implicaciones que los tratamientos de datos de carácter personal tienen sobre los interesados.
"1/1!""01)" "/%01.2ć-2+1,2+ 1&3&!!!"1/1*&"+1,Ǿ-,/020 / 1"/ģ01& 0Ǿ")
1&-,!"!1,0),0.2"0"/"Ɯ"/",")1&-,!",-"/ &,+"0-2"!" 20/2+!ļ,),0&+1"/"0-
!,0ǽ01""+#,.2"&*-)& "01&*/")!ļ,6)1&-,),$ģ!"!ļ,.2"0"-2"!"-/,!2 &/0,/"
),0&+1"/"0!,0Ǿ-,/"'"*-),Ǿ2+!ļ,*1"/&)!"/&3!,!")32)+"/ &Ń+!"020!"/" %,06
libertades.

Ȋ)
20 -/,3" %/
)03"+1'0.2",#/" ")
gestión de riesgos”

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

5
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

3. Protección de datos desde el

diseño y la gestión de riesgos: ¿cuál
debe ser la hoja de ruta a seguir?
La exposición a los riesgos con impacto en la protección de datos se produce desde el inicio o
-2"01"+*/ %!"),01/1*&"+1,0Ǿ"3,)2 &,++!,"+#2+ &Ń+!")03/& &,+"0!") ,+1"5-
1,6!"# 1,/"0,")"*"+1,0.2"&+1"/3&"+"+"+)0*&0*0ǽ

El RGPD, consciente de que un tratamiento nace expuesto a riesgos con impacto en la protección
de los datos, introduce los conceptos de “protección de datos desde el diseño y por defecto”.

Apartado 1 del artículo 25 del RGPD:

“Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la natura-

)"7Ǿç*&1,Ǿ ,+1"51,6Ɯ+"0!")1/1*&"+1,Ǿ0ģ ,*,),0/&"0$,0!"!&3"/0
-/,&)&!!6$/3"!!.2""+1/ļ")1/1*&"+1,-/),0!"/" %,06)&"/-
tades de las personas físicas, el responsable del tratamiento aplicará, tanto en el
momento de determinar los medios de tratamiento como en el momento del propio
tratamiento, *"!&!01ć +& 06,/$+&71&30-/,-&!0Ǿ como la seudonimi-
zación, concebidas -/-)& /!"#,/*"#" 1&3),0-/&+ &-&,0!"-/,1" &Ń+
de datos, como la minimización de datos, e integrar las garantías necesarias en el
1/1*&"+1,ǾƜ+!" 2*-)&/),0/".2&0&1,0!")-/"0"+1""$)*"+1,6-/,1"$"/),0
derechos de los interesados”.

Apartado 2 del artículo 25

“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropia-
!0 ,+*&/0$/+1&7/.2"Ǿ-,/!"#" 1,Ǿ0,),0"+,'"1,!"1/1*&"+1,),0!1,0
-"/0,+)"0.2"0"++" "0/&,0-/ !2+,!"),0Ɯ+"0"0-" ģƜ ,0!")1/1*&"+1,ȋǽ

*,0 ,+ "-1,0Ǿ1&"+"+ ,*,-/"*&0Ǿ$/+1&7/),0!"/" %,06)&"/1!"0!"),0&+1"/"0-

!,0!"0!")!"Ɯ+& &Ń+!"2+ 1&3&!!!"1/1*&"+1,ǽ

)/"0-,+0)"!")1/1*&"+1,.2"/")&7,!"0"/")&7/ 1&3&!!"0!"1/1*&"+1, ,+!-

tos personales, debe establecer procedimientos de control que garanticen cumplir los princi-
-&,0!"-/,1" &Ń+!"0!"")!&0"ļ,6-,/!"#" 1,ǽ

"Ɯ+&/6"01)" "/*"!&!0!" ,+1/,)60"$2/&!!"02+1/"#2+!*"+1).2"0"!""/"-

)&7/!" 2"/!,)0-/1& 2)/&!!"0!")0 1&3&!!"0!"1/1*&"+1,ǽ
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

6
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

Artículo 32 "$2/&!!!")1/1*&"+1,ǿ

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la na-

turaleza, el alcance, el contexto y los Ɯ+"0 !") 1/1*&"+1,Ǿ así como /&"0$,0 !"
-/,&)&!!6$/3"!!3/&)"0-/),0!"/" %,06)&"/1!"0!")0-"/0,+0
físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas
6 ,/$+&71&30 -/,-&!0 para $/+1&7/ 2+ +&3") !" 0"$2/&!! !" 2!, )
/&"0$,Ǿ.2""+02 0,&+ )26Ǿ"+1/",1/,0ǿ

la seudonimización y el cifrado de datos personales;

la capacidad de $/+1&7/la ,+Ɯ!"+ &)&!!Ǿ&+1"$/&!!Ǿ disponibilidad6

resiliencia permanentes de los 0&01"*060"/3& &,0!"1/1*&"+1,Ȁ

la capacidad de restaurar la disponibilidad y el acceso a los datos personales de

forma rápida "+ 0,!"&+ &!"+1"#ģ0& ,,1ć +& ,Ȁ

un -/, "0,!"3"/&Ɯ  &Ń+Ǿ "3)2 &Ń+63),/ &Ń+/"$2)/"0!")"Ɯ  &de

las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al "3)2/)!" 2 &Ń+!")+&3")!"0"$2/&!!se tendrán particularmente en

2"+1),0/&"0$,0.2"-/"0"+1"")1/1*&"+1,!"!1,0Ǿ"+-/1& 2)/ ,*, ,+0"-
cuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no
autorizados a dichos datos.

Ȋ)/"0-,+0)"6")
encargado del tratamiento
aplicarán medidas técnicas
6,/$+&71&30-/,-&!0ȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

7
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

,+"),'"1&3,!""01)" "/)/") &Ń+"+1/"),0 ,+ "-1,0!"Ȋ-/&3 &!!!"0!"")!&0"ļ,

6-,/!"#" 1,ȋ6)0*"!&!0!" ,+1/,)60"$2/&!!.2"0"!""+!"Ɯ+&/"&*-)+1/-/$-
/+1&7/),0!"/" %,06)&"/1!"0!"),0&+1"/"0!,0"+)0 1&3&!!"0!"1/1*&"+1,Ǿ ,+-
1&+2 &Ń+Ǿ0"!"0 /&"2+-,0&)"Ɲ2',!"1/', ,+)%,'!"/210"$2&/-,/-/1"!"2+
/"0-,+0)"!"1/1*&"+1,.2".2&"/))"3/ ,2+ 1&3&!!!"1/1*&"+1,ǿ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

8
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

"Ɯ+& &Ń+6!&0"ļ,!")0 1&3&!!"0!"1/1*&"+1,

!"Ɯ+& &Ń+!"2+ 1&3&!!!"1/1*&"+1,"02+-0,#2+!*"+1).2"/".2&"/"1"+"/ )/,
2ç)"00,+)0Ɯ+)&!!"0!")1/1*&"+1,!"!1,0-"/0,+)"0ǽ

,//"0-,+!"  ! ,/$+&7 &Ń+Ǿ !"  2"/!, ) -/&+ &-&, !" /"0-,+0&)&!! -/, 1&3
(accountability), decidir el nivel de agregación o segregación para elaborar el registro de
 1&3&!!"0!"1/1*&"+1,6!""/ç3),//%01.2ć-2+1,"0$/"$ &Ń+,0"$/"$ &Ń+
,//"0-,+!" ,+#&+)&!!"0Ǿ0"0'2/ģ!& 06$/2-,0!"&+!&3&!2,0!&01&+1,0ǽ

0&*&0*, ,//"0-,+!"-,+!"//Ǿ ,*,0"%&7, ,++1"/&,/&!!)%,/!"!"Ɯ+&/Ɯ %"/,0Ǿ

la ,-1&*&7 &Ń+!")$"01&Ń+!")-/,1" &Ń+!"!1,0 dentro de su organización para que
esta resulte útil, ágil, efectiva 6-"/*&1) +7/),0,'"1&3,0.2"))"$&0) &Ń+20 ǿ.2"
),0&+!&3&!2,0 26,0!1,00,+,'"1,!"1/1*&"+1,-2"!+1"+"/Ǿ"+02 0,Ǿ2+ ,+, &*&"+-
1,"#" 1&3,!"),01/1*&"+1,0.2"),/$+&7 &Ń+/")&70,/"")),0ǽ

2"!"/"02)1/ů1&))/"0-,+0)"6)"+ /$!,!")1/1*&"+1,Ǿ)%,/!""),//")/"$&0-
1/,!" 1&3&!!"0!"1/1*&"+1,Ǿ3,)3"/)3&01),0Ɯ %"/,0 que la organización hubiera
descrito con anterioridad para comprobar, si todos los tratamientos sobre datos de carácter
-"/0,+).2")"+1&!!/")&7"01ç+/" ,$&!,0"+")),0Ǿ0&")+&3")0"-/ &Ń+,!&3&0&Ń+0&$2"
0&"+!,")!" 2!,,+,6 ,//"0-,+!"0"$/"$/,Ǿ-,/") ,+1//&,Ǿ-/,5&*/Ɯ+)&!!"0"+
2+ů+&  1&3&!!!"1/1*&"+1,-2"01,.2")Ɯ+)&!!"0)*&0*Ǿ ,//"0-,+!"2+
0"'2/ģ!& ů+& 6") ,)" 1&3,!"#" 1!,0"0")*&0*,ǽ

,+"01"Ɯ+)%&+ )2&!,"+1/"0200"/3& &,0)-,0&&)&!!!",1"+"/2+ copia en

electrónico țƜ %"/,5 "),Ȝ!") ,+1"+&!, ,*-)"1,!")!" )/ &Ń+!"020Ɯ %"/,0ǽ

Ȋ&+ )26")
posibilidad de obtener
una copia del contenido
completo de la declaración
!"020Ɯ %"/,0ȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

9
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

+3"7&+ ,/-,/!0)/"$&01/,!"1/1*&"+1,0!")"+1&!!1,!0.2"))0 1&3&!!"0.2"

,//"0-,+!"+)1/',,#2+ &,+"0.2""01/")&70,/"),0!1,0!" /ç 1"/-"/0,+)!"
),0 ,)" 1&3,0!"-"/0,+0.2"*+"'Ǿ!""/çƜ'/0""+)0+2"30,)&$ &,+"0.2"")

!"0 /&"0,/"")/"0-,+0)"!")1/1*&"+1,6")"+ /$!,!"1/1*&"+1,ǽ¿Suponen estas
nuevas obligaciones la generación de nuevas actividades de tratamiento que deban ser
descritas e incorporadas al registro de actividades?

El RGPD establece en el artículo 5 ),00&$2&"+1"0-/&+ &-&,0/")1&3,0)1/1*&"+1,!"!1,0

-"/0,+)"0.2""0+" "0/&, ,+0&!"//"+)!"Ɯ+& &Ń+!"2+1/1*&"+1,ǿ

& &12!Ǿ)")1!61/+0-/"+ &ǿLos datos personales deben ser tratados de manera líci-
1Ǿ)")61/+0-/"+1""+/") &Ń+ ,+")&+1"/"0!,ǽ

&*&1 &Ń+!")Ɯ+)&!!ǿ,0!1,00"!""+/" ,$"/ ,+Ɯ+"0!"1"/*&+!,0Ǿ"5-)ģ &1,0

6)"$ģ1&*,0Ǿ6+,0"/ç+1/1!,02)1"/&,/*"+1"!"*+"/&+ ,*-1&)" ,+!& %,0Ɯ+"0ǽ

&+&*&7 &Ń+!"!1,0ǿ,0!1,0!""+0"/!" 2!,0Ǿ-"/1&+"+1"06)&*&1!,0),+" "-

0/&,"+/") &Ń+ ,+),0Ɯ+"0-/),0.2"0,+1/1!,0ǽ

5 1&12!ǿ,0!1,0!""+0"/"5 1,0Ǿ60&#2"/+" "0/&,Ǿ 12)&7!,0ǽ!"*ç0Ǿ0""01-

)" ".2"0"!,-1/ç+1,!0)0*"!&!0/7,+)"0-/.2"0"02-/&*+,/" 1&Ɯ.2"+0&+
!&) &Ń+0&),0!1,00,+&+"5 1,0 ,+/"0-" 1,),0Ɯ+)"0-/),0.2"0"1/1+ǽ

&*&1 &Ń+!")-)7,!" ,+0"/3 &Ń+ǿLos datos deben ser mantenidos de forma que se
-"/*&1)&!"+1&Ɯ  &Ń+!"),0&+1"/"0!,0!2/+1"+,*ç01&"*-,!")+" "0/&,-/),0
Ɯ+"0!")1/1*&"+1,!"),0!1,0-"/0,+)"0ǽ

+1"$/&!!6 ,+Ɯ!"+ &)&!!ǿ Los datos deben ser tratados de tal manera que se garanti-
ce una seguridad adecuada mediante la aplicación de medidas de control apropiadas.

Adicionalmente, el artículo 5 del RPGD establece que el responsable del tratamiento deberá
$/+1&7/") 2*-)&*&"+1,!"),0-/&+ &-&,0/")1&3,0)1/1*&"+1,Ǿ0ģ ,*,Ǿ)Ɯ$2//"0-
ponsable de demostrarlo. Por tanto, es fundamental !"Ɯ+&/!" 2!*"+1")0 1&3&!!"0
de tratamiento6!, 2*"+1/),0+ç)&0&0/")&7!,0Ǿ0ģ ,*,Ǿ!"'/1/7&)&!!!"),0*&0-
*,06!")0 ,+ )20&,+"0.2"),00,-,/1+-/-,!"/$/+1&7/)/"0-,+0&)&!!-/, 1&3ǽ

A continuación, se describen diferentes métodos de análisis que permiten determinar el tipo de

/&"0$,0, &!,),01/1*&"+1,060"$2&/)%,'!"/21*ç0!" 2!-/"01)" "/*"!&-
!0!" ,+1/,) ,+0&!"/+!,),0/&"0$,0),0.2""01ç+"5-2"010)0 1&3&!!"0!"1/1*&"+1,ǽ

FACILITA: Herramienta para tratamientos de escaso riesgo

0 1&3&!!"0!"1/1*&"+1,!""+0"/"3)2!0 ,+"),'"1&3,!"!"1"/*&+/")-,1"+-
&)/&"0$,).2""01ç+"5-2"010ǽ,+")Ɯ+!"!"1"/*&+/0&2+1/1*&"+1,"+1/ļescaso
riesgo, )$"+ &0-ļ,)!"/,1" &Ń+!"1,0%-2"01,!&0-,0& &Ń+!"),0/"0-,+0-
bles de tratamiento de datos personales la herramienta Facilita_RGPD, destinada a aquellas
Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

10
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

-"/0,+06"*-/"00.2"/")&7+1/1*&"+1,0!"!1,0-"/0,+)"0.2"Ǿ-/&,/&Ǿ&*-)& /ģ+
2+"0 0,+&3")!"/&"0$,-/),0!"/" %,06)&"/1!"0!"),0&+1"/"0!,0 26,0!1,01/1+Ǿ
1"+&"+!,"+ 2"+1.2"1,!,1/1*&"+1, ,+))"32+ &"/1,+&3")!"/&"0$,ǽ

/)0-"/0,+06"+1&!!"0.2"+,"+ 2"+1/"+ 2&"/10020+" "0&!!"0-,/)%"//*&"+1

Facilita_RGPDǾ0"!"""3)2/0&)0 1&3&!!"0!"1/1*&"+1,"+1/ļ+2+alto riesgo para
),0!"/" %,06)&"/1!"0!")&+1"/"0!,ǽ)0&$2&"+1"-0,"+)%,'!"/21Ǿ0"/ç+)&7/Ǿ-/
! 1&3&!!!"1/1*&"+1,Ǿ0&"+1/ļ2+/&"0$,)1, ,+"),'"1&3,!"!"1"/*&+/0&0"/"-
.2&"/"2+"3)2 &Ń+!"&*- 1,/")1&3)-/,1" &Ń+!"!1,0țȜǽ

+ç)&0&0!")+" "0&!!!"/")&7/2+3)2 &Ń+!"*- 1,0,-

bre la Protección de los Datos: ¿Cuándo se debe realizar una EIPD?
++,0"/".2&"/"0&"*-/"Ǿ"+ ! 1&3&!!!"1/1*&"+1,Ǿ0"!""3),//)+" "-
0&!!!"))"3/ ,)*&0*ǽ0#2+!*"+1)/")&7/2+análisis previo para determinar
!"#,/*-/")&*&+/")+&3")!"/&"0$,).2"-2"!""01/"5-2"01,")1/1*&"+1,61,*/)
decisión adecuada en base a ello.

Del resultado del análisis sobre la necesidad de realizar una EIPD se puede concluir que:

ģ"0+" "0/&,/")&7/2+ǿ"/")&7/ç6!, 2*"+1/ç2+ ,+1,!0020#-

0"0ț"/
2ģ!"3)2 &Ń+!"*- 1,"+)/,1" &Ń+!"1,0Ȝǽ

,"0+" "0/&,/")&7/2+ǿ""+1&"+!".2")0 1&3&!!"0!"1/1*&"+1,+,"0-

1ç+"5-2"010/&"0$,0/")"3+1"0.2"*,1&3"+)+" "0&!!!"/")&7/2+"+-/,#2+-
!&!!ǽ& ,*,/"02)1!,!")+ç)&0&0-/"3&,0" ,+0&!"/.2"+,"0+" "0/&,))"3/ ,
2+Ǿ0"!""!, 2*"+1/!" 2!*"+1"),0*,1&3,0-,/),0 2)"00"%))"$!,
"0 ,+ )20&Ń+ǽ+ 2).2&"/ 0,Ǿ0"!""*+1"+"/"3&!"+ &!".2"0"%))"3!, ,
"01"+ç)&0&0ț/"0-,+0&)&!!-/, 1&3Ȝǽ

“Una EIPD no se requiere

0&"*-/"Ǿ"+ ! 1&3&!!
de tratamiento, se debe
3),//)+" "0&!!!"
))"3/ ,)*&0*ȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

11
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

ȅ2ć /&1"/&,00"!""+0"$2&/-/+)&7/)+" "0&!!!"))"3/ ,,+,2+Ȅ

/!"1"/*&+/0&"0+" "0/&,))"3/ ,),+,Ǿ0"-2"!"0"$2&/2+/"3"*"1,!,-
logía de análisis constituida por dos fases:

+ç)&0&0!")0)&010!"1/1*&"+1,0-/"3&01,0"+)/"$2) &Ń+ț/1ǘǚǽǘǾǘǚǽǙǾ6ǘǚǽǚȜ
+ç)&0&0!")+12/)"7Ǿ) + "Ǿ ,+1"51,6Ɯ+"0!"1/1*&"+1,ț/1ǘǚǽǖȜ

0"ǿ+ç)&0&0!")0)&010!"1/1*&"+1,0-/"3&01,0"+)/"$2) &Ń+ț/1ǘǚǽǘǾǘǚǽǙǾ6ǘǚǽǚȜ

La regulación establece supuestos en los cuales es obligatorio realizar la EIPD sin necesidad de
/")&7/2++ç)&0&0!"/&"0$,0Ǿ-,/1+1,Ǿ) ,*-/, &Ń+!")0)&010602-2"01,0&+ )2&!,0"+
)/"$2) &Ń+Ǿ!""0"/")-/&*"/-0,-/!"1"/*&+/)+" "0&!!!"))"3/ ,2+ǽ

)/1ģ 2),ǘǚǽǘǾ1)6 ,*,0"%&+!& !,"+)+1"/&,/0" &Ń+Ǿ/" ,$"tres casos en los que

es obligatorio hacer la EIPDǽ!& &,+)*"+1"Ǿ")
"+),0/1ģ 2),0ǘǚǽǙ6ǘǚǽǚ-/"3ć)
existencia de listas elaboradas por las autoridades de control que determinen en que casuís-
ticas es obligatoria la realización de una EIPD, así como, en que casuísticas estaría excluida la
necesidad de realizar una EIPD.

Si el tratamiento aparece en la lista de tratamientos que requieren la EIPD (art 35.4), que debe
"),// !21,/&!!!" ,+1/,)63)&!/"),*&1ć2/,-",!"/,1" &Ń+!"!1,0Ǿ0"!"-
berá documentar la casuística concreta en el informe de análisis de la necesidad de realizar la
6-/, "!"/&+& &/)*&0*ǽ

&0" ,+0&!"/.2"")1/1*&"+1,0"&+ )26""+))&01!"1/1*&"+1,0"5 )2&!,0ț/1ǘǚǽǚȜǾ"0

+" "0/&,$/+1&7/.2""#" 1&3*"+1"")1/1*&"+1,"+ '"+"0 02ģ01& 0&+)2$/!2!0
6Ǿ0&"0"#2"0"") 0,Ǿ0"!""!, 2*"+1/6 ,+ )2&/.2"+,"0+" "0/&,))"3/ ,2+ǽ

0&*-,/1+1"!"01 /.2"Ǿ0&")1/1*&"+1,+,"01ç&+ )2&!,"+),002-2"01,0 ,*"+1!,06

"++&+$2+!")0)&010Ǿ+,&*-)& .2"+,0"+" "0/&,))"3/ ,)Ǿ6"+1,!, 0,Ǿ
será necesario pasar a la segunda fase de análisis.

0"ǿ+ç)&0&0!")+12/)"7Ǿ) + "Ǿ ,+1"51,6Ɯ+"0!"1/1*&"+1,ț/1ǘǚǽǖȜ

0"$2+!#0"!"+ç)&0&00" "+1/"+"3)2/)0 / 1"/ģ01& 0!")0 1&3&!!"0!"1/1-

*&"+1,/")&7/0"$ů+),00-" 1,0-/"3&01,0"+")/1ģ 2),ǘǚǽǖ!")
ț+12/)"7Ǿ) +-
"Ǿ ,+1"51,6Ɯ+)&!!"0!")1/1*&"+1,Ȝǽ

Sobre cada uno de los aspectos, se deben tener en cuenta las siguientes consideraciones:

12/)"7!")1/1*&"+1,ǿ"!""+3),//)0 / 1"/ģ01& 0*ç0ç0& 0!")1/1*&"+-

1,63"/0&"010-2"!"+&*-)& /2+)1,/&"0$,ǽ,/"'"*-),ǿ

¿Se tratan categorías especiales de datos?

¿Se tratan datos a gran escala?

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

12
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

ȅ"% "2+0"$2&*&"+1,"5%201&3,!")0-"/0,+0Ȅ
ȅ" ,*&++!&#"/"+1"0 ,+'2+1,0!"!1,0Ȅț#2"+1"0!"&+#,/* &Ń+!&#"/"+1"0Ȝ
ȅ,0!1,00"/"Ɯ"/"+-"/0,+0"+0&12 &Ń+!"32)+"/&)&!!Ȅ

) + " !") 1/1*&"+1,ǿ " !""+ 3),// ),0 "#" 1,0 , ,+0" 2"+ &0 !") 1/1*&"+1,Ǿ
&!"+1&Ɯ +!,%01.2ć-2+1,-2"!"))"$/60&ć01"-2"!"02-,+"/2+)1,/&"0$,ǽ,/"'"*-),ǿ

ȅ"/")&72+-/, "0,!"1,*!"!" &0&,+"0 ,+"#" 1,0'2/ģ!& ,0Ȅ

ȅ"/")&72+3),/ &Ń+!"/&"0$, /"!&1& &,Ȅ
ȅ"3),/)"5 )20&Ń+!""+"Ɯ &,00, &)"0,Ɯ0 )"0Ȅ

,+1"51,!")1/1*&"+1,ǿ"!""3),//") ,+'2+1,!" &/ 2+01+ &0',)0 2)"00"

/")&7/ç+)0 1&3&!!"0!"1/1*&"+1,Ǿ ,+"),'"1&3,!"3"/&Ɯ /0&-2"!"+02-,+"/2+)1,
/&"0$,ǽ,/"'"*-),ǿ

ȅ"/")&72+20,!"+2"301" +,)Ń$& 0Ȅȅ0,+"0-" &)*"+1"&+30&30-/)-/&3 &!!Ȅ

ȅ5&01"+3/&,0/"0-,+0)"0!")1/1*&"+1,Ȅ
ȅ5&01"+ !"+0 ,*-)"'0!""+ /$!,0!"1/1*&"+1,Ȅ
¿Se producen transferencias internacionales?
¿Existen cesiones de datos?

&+)&!!"0!")1/1*&"+1,ǿ"!""+&!"+1&Ɯ / !2+!")0Ɯ+)&!!"0!")1/1*&"+-

1,6+)&7/0&"010!"/&3+"+2+)1,/&"0$,ǽ,/"'"*-),Ǿ0&)Ɯ+)&!!&+ )26"ǿ

Toma de decisiones
),/ &Ń+!"-"/Ɯ)"0
+ç)&0&0-/"!& 1&3,
/"01 &Ń+!"0"/3& &,0/") &,+!,0 ,+)0)2!
"$2&*&"+1,Ǿ ,+1/,)6,0"/3 &Ń+!"-"/0,+0ț*,+&1,/&7 &Ń+Ȝ

Ȋ"!""3),//")
,+'2+1,!" &/ 2+01+ &0
',)0 2)"00"/")&7/ç+
)0 1&3&!!"0!"
tratamiento”

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

13
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

¿Qué dice la regulación?

,+ /ç 1"/$"+"/)Ǿ%6.2"/")&7/2+ 2+!,2+1/1*&"+1,puede suponer un alto

riesgo para los derechos y las libertades de las personas físicas, especialmente (pero no ex-
)20&3*"+1"ȜǾ0&0"21&)&7++2"301" +,),$ģ061"+&"+!,"+ 2"+1)+12/)"7Ǿ) + "Ǿ
,+1"51,,Ɯ+)&!!"0!")1/1*&"+1,ț ,+0&!"/+!,ǜǛ6/1ģ 2),ǘǚǽǖ!")
Ȝǽ

Derechos y libertades son todos aquellos reconocidos como fundamentales para el ordena-
*&"+1,'2/ģ!& ,Ǿ&+ )2&!,0),0/" ,$&!,0"+)/1!"),0"/" %,0 2+!*"+1)"0!")+&Ń+
2/,-"Ǿ!,+!"0"&+ )26"")!"/" %,)-/,1" &Ń+!"),0!1,0!" /ç 1"/-"/0,+)ǽ

El /1ģ 2),ǘǚǽǘ del RGPD describe los siguientes casos en los cuales se ha considerado que un
1/1*&"+1,-2"!"!"/&3/"+/&"0$,0")"3!,0ǿ

3)2 &Ń+0&01"*ç1& 6"5%201&3!"0-" 1,0-"/0,+)"0!"-"/0,+0#ģ0& 0.2"0"0"

"+2+1/1*&"+1,21,*1&7!, ,*,)"),/ &Ń+!"-"/Ɯ)"060,/" 260"0"1,*"+
!" &0&,+"0.2"-/,!27 +"#" 1,0'2/ģ!& ,0-/)0-"/0,+0#ģ0& 0,.2")"0#" 1"+!"*,!,
similar.

Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre
condenas e infracciones penales o medidas de seguridad conexas.

0"/3 &Ń+0&01"*ç1& $/+"0 )!"2+7,+!" "0,-ů)& ,ǽ

!& &,+)*"+1"Ǿ ,+"),'"1&3,!"-,!"/!"1"/*&+/.2ć1&-,!"1/1*&"+1,0-2"!"+ ,+-

siderarse de alto riesgo, el GT29 en el documento ǗǙǝ&/" 1/& "00,/")03)2 &,+"0
de Impacto en la Protección de Datos&+1/,!2 " /&1"/&,0.2"-2"!"+"3&!"+ &/2+")"3!,
/&"0$,&+%"/"+1")0 1&3&!!"0!"1/1*&"+1,6.2"Ǿ0"!""+"3)2/6-2"!"+!"1"/*&+/
la necesidad de realizar un EIPD:

Tipo de tratamiento DESCRIPCIÓN

),/ &,+"06+ç)&0&0Ǿ&+ )2&!,0)"),/ &Ń+!"-"/Ɯ)"06

Evaluación o scoring
Toma de decisiones automati-
7! ,+"#" 1,)"$),0&*&)/
predicciones, especialmente de “aspectos relacionados con el
!"0"*-"ļ,!")&+1"/"0!,"+")1/',Ǿ0&12 &Ń+" ,+Ń*& Ǿ
0)2!Ǿ-/"#"/"+ &0,&+1"/"0"0-"/0,+)"0ǾƜ&)&!!, ,*-
-,/1*&"+1,Ǿ2&  &Ń+,*,3&*&"+1,0ȋǽ
/, "0*&"+1,.2"1&"+" ,*,,'"1&3,)1,*!"!" &0&,+"0
0,/"02'"1,0.2"-/,!2 "+Ȋ"#" 1,0)"$)"00,/")-"/0,+
#ģ0& ȋ,.2"Ȋ!"*+"/0&*&)/#" 10&$+&Ɯ 1&3*"+1")
-"/0,+#ģ0& ȋǽ,/"'"*-),Ǿ0&")-/, "0*&"+1,-2"!" ,+!2-
cir a la exclusión o discriminación de las personas.

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

14
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

/, "0*&"+1,21&)&7!,-/,0"/3/, ,+1/,)/),0&+1"-

,+&1,/&7 &Ń+0&01"*ç1&  /"0!,0Ǿ&+ )2&!,0),0!1,0/" ,-&)!,01/3ć0!"/"!"0,2+
1,0 ,+Ɯ!"+ &)"0,!"+-
12/)"7)1*"+1"-"/0,+)
Coincidencia o combinación
de conjuntos de datos
Datos relativos a las personas
vulnerables
Uso innovador o aplicación de
nuevas soluciones tecnológi-
02,/$+&71&30
Cuando el procesamiento en sí
mismo “impide que los inte-
/"0!,0"'"/7+2+!"/" %,,
utilicen un servicio o un con-
trato”
Tratamientos sujetos a un
código de conducta que lo
requiere
0&01"*!" ,+1/,)!"2+ç/"!" "0,-ů)& ,2 .
 1&3&!!"0!"1/1*&"+1, ,+ 1"$,/ģ0"0-" &)"0!"!1,0
-"/0,+)"0Ǿ-,/"'"*-),Ǿ&+#,/* &Ń+0,/")0,-&+&,+"0
-,)ģ1& 0!"),0&+!&3&!2,0,/"$&01/,0*ć!& ,0Ǿ0ģ ,*,!1,0
personales relacionados con condenas penales o delitos.
 1&3&!!"0!"1/1*&"+1,.2"&*-)& +) ,*&+ &Ń+!"
,+'2+1,0!"!1,0ǽ,/"'"*-),Ǿ-/, "!"+1"0!"!,0,*ç0
 1&3&!!"0!"1/1*&"+1,!"!1,0/")&7!0-/!&#"/"+1"0
-/,-Ń0&1,06ȡ,-,/!&#"/"+1"0/"0-,+0)"0!")1/1*&"+1,!"
2+*+"/.2""5 "!)0"5-" 11&30/7,+)"0!")02'"1,
de datos.
,002'"1,0!"!1,032)+"/)"0-2"!"+&+ )2&/*"+,/"0Ǿ
0"$*"+1,0*ç032)+"/)"0!")-,) &Ń+.2"/".2&"/"+
protección especial (personas con enfermedades mentales,
solicitantes de asilo o ancianos, pacientes, etc.).
 1&3&!!"0!"1/1*&"+1,/")&7!0*"!&+1"")20,!"
1" +,),$ģ&++,3!,/.2"-2"!&*-)& /+2"30#,/*0!"
/" ,-&) &Ń+620,!"!1,0Ǿ-,0&)"*"+1" ,+2+)1,/&"0$,
-/),0!"/" %,06)0)&"/1!"0!")0-"/0,+0ǽ,/"'"*-),Ǿ
) ,*&+ &Ń+!")20,!")%2"))! 1&)/6")/" ,+, &*&"+-
1,# &)-/*"',//") ,+1/,)!") "0,#ģ0& ,Ǿ"1 ǽ
-"/ &,+"0!"-/, "0*&"+1,.2"1&"+"+ ,*,,'"1&3,
-"/*&1&/Ǿ*,!&Ɯ /,/" %7/") "0,!"),0&+1"/"0!,02+
0"/3& &,,)"+1/!"+2+ ,+1/1,ǽ
&),01/1*&"+1,0"3)2!,00")"0-)& 2+ Ń!&$,!" ,+-
!2 1.2""5&$"02 2*-)&*&"+1,1*&ć+!""0"/,'"1,!"
)"3)2 &Ń+ǽ

El GT29 considera que cuantos más de los criterios mencionados cumplan un tratamiento, u
operaciones concretas del tratamiento, más probable es que suponga un alto riesgo para los
!"/" %,06)0)&"/1!"0!"),0&+1"/"0!,0ǽ&+"*/$,Ǿ")/"0-,+0)"!")1/1*&"+1,-2"-
!" ,+0&!"//.2"Ǿ-,/)+12/)"7!")1/1*&"+1,Ǿ2+.2"),01/1*&"+1,0 2*-)"+3/&,0
!"),0 /&1"/&,0*"+ &,+!,0Ǿ/")*"+1"+,%62+-/,)")1,/&"0$,ǽ+"01" 0,Ǿ%6.2"
!, 2*"+1/6/$2*"+1/!"#,/* )/)0/7,+"0-,/)0.2"+,0"))"3 ,)ǽ

En el otro extremo, para aquellos tratamientos para los cuales no es necesario realizar una
Ǿ")
ǗǞ"01)" "1*&ć+ &"/1,002-2"01,0ǽ0ģ), ,+0&!"/Ǿ-,/"'"*-),Ǿ 2+!,)
+12/)"7Ǿ")) + "Ǿ") ,+1"51,6)0Ɯ+)&!!"0!")1/1*&"+1,0,+*260&*&)/"0)0!"
2+1/1*&"+1,-/").2"60"%%" %,2+"3)2 &Ń+Ǿ, 2+!,")1/1*&"+1,1&"+" ,*,
0"'2/ģ!& ")!"/" %,!")0- &, ,+Ń*& ,2/,-",,!")01!,*&"*/,6)60"

Ǘ"!""/ç!&01&+$2&/0&"*-/"),.2" ,//"0-,+!"),.2" ,//"0-,+!"2+0&01"*!"&!",3&$&)+ &-/)0"$2/&!!!"2+-/, "0,!"

,0"/3 &Ń+0&01"*ç1&  ,+,1/,0Ɯ+"0 ,*,")"012!&,!"/210!" )&"+1"00,/"2+"0- &,#ģ0& , ,+,'"1,!",-1&*&7/)!&01/&2 &Ń+!"
mercancía en una tienda.

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

15
 III /,1" &Ń+!"!1,0!"0!"")!&0"ļ,6)$"01&Ń+!"/&"0$,0ǿȅ 2ç)!""0"/)%,'!"/210"$2&/Ȅ

%%" %,"+"01" ,+1"51,ǽ+*,0 0,00"!""/$2*"+1/.2""#" 1&3*"+1"Ǿ+,0"+ ,+-

1/*,0+1"2+1/1*&"+1,.2""+ ' )/*"+1""+"010 &/ 2+01+ &06-,/1+1,+,"0
+" "0/&,))"3/ ,)"3)2 &Ń+ǽ

&+"*/$,Ǿ)/"$2) &Ń++,0" &"/+""5 )20&3*"+1")0 02ģ01& 0*"+ &,+!0Ǿ+,0"

establece o enumera una lista de tratamientos concreta a la que se limite la necesidad de rea-
)&7/ 2+ Ǿ -,/ 1+1,Ǿ %6 1/1*&"+1,0 #2"/ !" "01,0 02-2"01,0 .2" -2"!"+ -/"0"+1/
/&"0$,0")"3!,06-/),0 2)"0"0+" "0/&,/")&7/2+ǽ+.2")),0 0,0"+),0.2"
+,"01ć )/,)+" "0&!!,+,!"))"3/ ,2+Ǿ"0/" ,*"+!)")/")&7 &Ń+!")
misma.

,*+!, "+ ,+0&!"/ &Ń+ ! 2+, !" ),0 0-" 1,0 !"0 /&1,0 6 /")&7+!, 2+ /"3" "3-
)2 &Ń+!"),0*&0*,0Ǿ0"-2"!"!"1"/*&+/0&%6+" "0&!!,+,!"))"3/ ,)ǽ0
&*-/"0 &+!&)""),//2+&+#,/*"!,+!"0"!"0 /&+),0 /&1"/&,00"$2&!,06),0/$2*"+1,0
en los que se basa la conclusión para determinar si es necesario, o no, realizar la EIPD.

Como herramienta soporte para el análisis inicial que permita determinar la necesidad de rea-
)&7/2+Ǿ6023"7-/-,!"/ /"!&1/02/")&7 &Ń+Ǿ0"!'2+1"+")Anexo I2+"'"*-
plo de plantilla con posibles cuestiones a tener en cuenta para analizar la necesidad de realizar
una EIPD.

Ȋ61/1*&"+1,0#2"/
de estos supuestos que
pueden presentar riesgos
")"3!,06-/),0 2)"0"0
necesario realizar una EIPD”

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

16
 IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,

4. Registro de actividades de
tratamiento
"0 /&- &Ń+ǿȅ2ć"02+/"$&01/,!" 1&3&!!"0!"1/1*&"+1,Ȅ

Apartado 1 del artículo 30 del RGPD

“Cada responsable y, en su caso, su representante llevará un registro de las actividades

!"1/1*&"+1,"#" 12!0',02/"0-,+0&)&!!ȋǽ!& &,+)*"+1"&+!& .2"Ȋ !
encargado y, en su caso, el representante del encargado, llevará un registro de todas
las categorías de actividades de tratamiento efectuadas por cuenta de un responsable”.

+)-/ç 1& Ǿ-2"!"&!"+1&Ɯ /0"2+1/1*&"+1, ,*,") ,+'2+1,!",-"/ &,+"0

!&/&$&!0 ,+0"$2&/2+!"1"/*&+!Ɯ+)&!!.2"0")"$&1&*+"+2+*&0*0"
'2/ģ!& ǽ!1/1*&"+1,&+ )2&/ç2+0"/&"!",-"/ &,+"0 ,*,Ǿ-,/"'"*-),)/"-
cogida, registro, organización, estructuración, consulta o utilización de los datos.

+ 1&3&!!!"1/1*&"+1,0"!""&+ )2&/"+")/"$&01/,!" 1&3&!!"0"+")*,*"+-

1,-/"3&,+1"0!"02-2"01"+*/ %ǽ/# &)&1/)!, 2*"+1 &Ń+!")/"$&01/,0"
-2"!"21&)&7/)&+#,/* &Ń+-/"3&!, 2*"+1!"+),0+ç)&0&0&+& &)"0/")&7!,0!2-
/+1")#0"!"!"Ɯ+& &Ń+!"),-"/ &Ń+!"1/1*&"+1,Ǿ0&+,)3&!/.2")"01/2 12/
del mismo deberá corresponder a lo que el punto 1 del artículo 30 del RGPD detalla.

&!"+1&Ɯ  &Ń+6!"0 /&- &Ń+!")0 1&3&!!"0!")1/1*&"+1,Ǿ+,0,),"02+,)&-

gación, sino una necesidad en las fases iniciales del para facilitar el análisis de riesgos.

,*,0"% ,*"+1!,"+")-/1!,Ȋ"Ɯ+& &Ń+6!&0"ļ,!")0 1&3&!!"0!"1/-

1*&"+1,ȋǾ$"+"/+!,")"*"+1,0!&#"/"+1"0.2"0" ,//"0-,+!"+ ,+Ɯ+)&!!"0Ǿ
0"0'2/ģ!& 06$/2-,0!"&+!&3&!2,0!&01&+1,0ǽ

“Cada tratamiento
incluirá la recogida,
registro, organización,
estructuración, consulta o
utilización de los datos”

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

17
 IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,

Artículo 30 del RGPD

“El responsable o el encargado del tratamiento y, en su caso, el representante del res-

ponsable o del encargado pondrán el registro a disposición de la autoridad de control
.2"),0,)& &1"ȋǽ

,/1+1,Ǿ"0#2+!*"+1).2"")/"$&01/,!" 1&3&!!"0"01ć-"/*+"+1"*"+1" -
12)&7!,6"+2+#,/*1, )/,6)"$&)".2"# &)&1"02 ,*-/"+0&Ń+-,/-/1"!"1"/-
"/,0ǽ)/"$&01/,!" 1&3&!!"0!"1/1*&"+1,0"!"""+1"+!"/Ǿ+" "0/&*"+1"Ǿ
,*,2+!, 2*"+1,3&3,Ǿ.2"requiere revisión continua 6 12)&7 &Ń+ !3"7
.2"0"-/,!27 2+ *&,/")"3+1""+)$2+ 1&3&!!!"1/1*&"+1,/"$&01/!ǽ

01/2 12/ǿȅ.2ć!""&+ )2&/2+/"$&01/,!" 1&3&!!"0!"1/1-

miento?

Artículo 30

Ȋ& %,/"$&01/,!""/ç ,+1"+"/1,!)&+#,/* &Ń+&+!& ! ,+1&+2 &Ń+ǿ

el nombre y los datos de contacto del responsable y, en su caso, del correspon-

sable, del representante del responsable, y del delegado de protección de datos;
),0Ɯ+"0!")1/1*&"+1,Ȁ
una descripción de las categorías de interesados y de las categorías de datos
personales;
)0 1"$,/ģ0!"!"01&+1/&,0.2&"+"00" ,*2+& /,+, ,*2+& /ç+),0!-
tos personales, incluidos los destinatarios en terceros países u organizaciones in-
ternacionales;
en su caso, las transferencias de datos personales a un tercer país o una organi-
7 &Ń+&+1"/+ &,+)Ǿ&+ )2&!)&!"+1&Ɯ  &Ń+!"!& %,1"/ "/-ģ02,/$+&7 &Ń+
internacional y, en el caso de las transferencias indicadas en el artículo 49, aparta-
do 1, párrafo segundo, la documentación de garantías adecuadas;
cuando sea posible, los plazos previstos para la supresión de las diferentes cate-
gorías de datos;
cuando sea posible, una descripción general de las medidas técnicas y organiza-
1&30!"0"$2/&!!.2"0"/"Ɯ"/"")/1ģ 2),ǘǗǾ-/1!,ǖǽȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

18
 IV "$&01/,!" 1&3&!!"0!"1/1*&"+1,

"#,/*+ç),$Ǿ-/)Ɯ$2/!""+ /$!,!")1/1*&"+1,Ǿ")/1ģ 2),ǘǕ"01)" ".2"

“Cada encargado y, en su caso, el representante del encargado llevará un registro de

todas las categorías de actividades de tratamiento efectuadas por cuenta de un respon-
0)".2" ,+1"+$ǿ

el nombre y los datos de contacto del encargado o encargados y de cada respon-

sable por cuenta del cual actúe el encargado, y, en su caso, del representante del res-
ponsable o del encargado, y del delegado de protección de datos;
las categorías de tratamientos efectuados por cuenta de cada responsable;
en su caso, las transferencias de datos personales a un tercer país u organización
&+1"/+ &,+)Ǿ&+ )2&!)&!"+1&Ɯ  &Ń+!"!& %,1"/ "/-ģ02,/$+&7 &Ń+&+1"/+ &,-
nal y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo
segundo, la documentación de garantías adecuadas;
cuando sea posible, una descripción general de las medidas técnicas y organizati-
30!"0"$2/&!!.2"0"reƜ"/"")/1ģ 2),ǘǕǾ-/1!,ǖȋǽ

Ȋ!"+ /$!,6Ǿ"+02
caso, su representante
))"3/ç2+/"$&01/,
!")0 1&3&!!"0!"
tratamiento efectuadas
',02/"0-,+0&)&!!ȋ

Guia Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD

19