En cuanto a la evaluación de impacto relativa a la protección de datos, el responsable o el encargado del tratamiento debe recabar el asesoramiento del DPD sobre, entre otras, las siguientes cuestiones:

• si debe llevarse a cabo o no una evaluación de impacto relativa a la protección de datos
• qué metodología debe seguirse para llevar a cabo una evaluación de impacto
• si debe realizarse la evaluación de impacto en la propia organización o subcontratarse
• qué salvaguardias (incluidas medidas técnicas y organizativas) deben aplicarse para mitigar cualquier riesgo para los derechos e intereses de los interesados
• si la evaluación de impacto relativa a la protección de datos se ha llevado a cabo correctamente o no y si sus conclusiones (si seguir adelante o no con el tratamiento y qué salvaguardias aplicar) son conformes con el RGPD.

En cuanto a los registros de las actividades de tratamiento, es obligación del responsable o del encargado del tratamiento, y no del DPD o Delegado de Protección de Datos, mantener los registros de las operaciones de tratamiento. No obstante, nada impide que el responsable o el encargado del tratamiento asigne al DPD o Delegado de Protección de Datos la tarea de mantener un registro de las operaciones de tratamiento bajo la responsabilidad del responsable del tratamiento. Dicho registro debe considerarse una de las herramientas que permiten al DPD o Delegado de Protección de Datos realizar sus funciones de supervisión del cumplimiento, información y asesoramiento al responsable o al encargado del tratamiento.