¿Qué exige este criterio?
El servicio QERDS trata datos personales de emisores y destinatarios (al menos el identificador usado para la autenticación). Por tanto: (1) hay que identificar las bases jurídicas de cada tratamiento; (2) elaborar el registro de actividades de tratamiento; (3) realizar la evaluación de impacto (EIPD) si el tratamiento es de alto riesgo; (4) publicar la política de privacidad; (5) gestionar los derechos de los interesados (acceso, supresión, etc.); (6) resolver la tensión entre el deber de conservación (Ley 6/2020) y la minimización de datos (RGPD).

¿Qué hay que revisar al cliente?

• Registro de actividades de tratamiento para el servicio QERDS.
• Bases jurídicas identificadas para cada tratamiento.
• EIPD realizada si el tratamiento es de alto riesgo.
• Política de privacidad publicada y accesible.
• Resolución de la tensión conservación-minimización documentada.
• Gestión de derechos de interesados (procedimiento).

Preguntas clave para las entrevistas

• ¿Está el servicio QERDS incluido en el registro de actividades de tratamiento del prestador?
• ¿Se ha realizado una EIPD para el servicio QERDS?
• ¿Cómo se resuelve la tensión entre la obligación de conservar evidencias (5 años+) y el principio de minimización del RGPD?
• ¿La política de privacidad incluye el tratamiento de datos del QERDS?

¿Por qué es esencial para QERDS y TSA?
El QERDS es un servicio con impacto directo en la privacidad: trata identidades y contenido de comunicaciones privadas. La conformidad RGPD es una exigencia transversal que afecta al diseño técnico del servicio (pseudonimización, cifrado, periodos de retención diferenciados).

Evidencia que demostraría conformidad

• Registro de actividades de tratamiento del QERDS.
• EIPD (si aplica).
• Política de privacidad publicada.
• Análisis de la tensión conservación vs. minimización.