Listado de la AEPD en los que es obligatoria la realización de una evaluación de impacto Ha sido salvado
Artículo
Listado de la AEPD en los que es obligatoria la realización de una evaluación de impacto
Legal Alert: Impacto Normativo
La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto.
El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas físicas.
Por otro lado, prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto.
Además de lo dispuesto en el artículo 35 del RGPD, la AEPD ha emitido una lista orientativa de los tratamientos que requieren EIPD.
La AEDP ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que el tratamiento cumpla con dos o más criterios de la lista, que son los siguientes:
• Tratamientos que impliquen perfilado o valoración de sujetos.
• Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones.
• Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.
• Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
• Tratamientos que impliquen el uso de datos biométricos.
• Tratamientos que impliquen el uso de datos genéticos.
• Tratamientos que impliquen el uso de datos a gran escala.
• Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
• Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social.
• Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
• Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
