¿Cuándo es necesario realizar una evaluación de impacto?

VolverEl RGPD en su artículo 35.5, establece que la autoridad de control, es decir, la AEPD, podrá establecer y publicar una lista de los tipos de tratamientos de datos de carácter personal que no requieran evaluaciones de impacto relativo a la protección de datos. Esta lista debe ser comunicada al Comité Europeo de Protección de Datos (CEPD).

El 4 de septiembre de 2019, la Agencia publicaba un listado de los tipos de tratamientos que no requieren una evaluación de impacto relativa a la protección de datos. Esta lista, de acuerdo con el RGPD, fue comunicada al CEPD, no obstante, aunque esta comunicación lo es a efectos informativos, el Comité puede adoptar alguna intervención o decisión al respecto.

La lista de tratamientos que no requiere una evaluación de impacto, y que a continuación se enumera, no exime de otras obligaciones contenidas en el Reglamento sobre los tratamientos de datos.

1. Aquéllos tratamientos que se realicen bajo directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por la AEPD, siempre que ese tratamiento no se haya modificado desde que fue autorizado.

2. Tratamientos que se realicen bajo directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, siempre que para la validación del código de conducta se haya realizado una evaluación de impacto completa y el tratamiento se implemente incluyendo esas medidas definidas en la mencionada evaluación de impacto.

3. Tratamientos necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en ese mandato no se obligue a realizar una evaluación de impacto, y siempre y cuando ya se haya realizado una evaluación de impacto completa.

4. Tratamientos realizados en el ejercicio de su actividad laboral de trabajadores autónomos que ejerzan de forma individual, especialmente los médicos, profesionales de la salud o abogados, salvo que la evaluación de impacto sea requerida cuando el tratamiento que se lleve a cabo cumpla con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (lista elaborada por la AEPD con anterioridad a la que es objeto de análisis). En esta lista, que pudiéramos denominar “positiva”, se enumeran una serie de tratamientos que sí requieren una evaluación de impacto; de entre los más relevantes destacan:

- Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida, que cubran varios aspectos de su personalidad o sobre sus hábitos.

- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a la persona física.

- Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

- Tratamientos que impliquen el uso de datos a gran escala.

- Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados…

- Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías.

5. Tratamientos obligatorios por Ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a datos de clientes.

6. Tratamientos realizados por comunidades o subcomunidades de propietarios.

7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, siempre que no se incluya en el tratamiento de datos sensibles (art. 9.1 RGPD) y no sea de aplicación el art. 9.2 (d) de dicho cuerpo legal.

Desde el Departamento de Derecho Digital de Belzuz Abogados, S.L.P., siendo una de nuestras especialidades el campo que abarca la Protección de Datos, hemos considerado la relevancia de informar sobre esta novedad que publica la AEPD y que es una ayuda más que presta el referido organismo para la correcta adecuación al Reglamento. Sirva este pequeño análisis para dar difusión de la novedad, estando en el ánimo de nuestro Departamento hacer seguimiento de la figura de la evaluación de impacto (EIPD) que, como ya hemos señalado al comienzo, supone una cuestión no exenta de complejidad y abierta a interpretaciones. De momento señalar que nos parece altamente positivo que la Autoridad de Control Española elabore este tipo de documentos en aras a orientar a todos aquellos que están obligados para el debido cumplimiento de esta normativa protectora de los derechos fundamentales.

Por supuesto, quedamos a disposición de los destinatarios de esta breve nota para asesorar y ser de ayuda en cuanto a la valoración sobre la obligación de realizar una evaluación de impacto relativa a tratamientos de datos de carácter personal, en cumplimiento de los trámites y seguimiento de los deberes y obligaciones del RGPD, y la LOPD y Garantías de los Derechos Digitales por parte de las empresas y profesionales.

Covadonga Peñas CoveñasCovadonga Peñas Coveñas 

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

0
0
0
s2smodern

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

Subir