Estamos en: 

1. Noticias >
2. La AEPD publica la lista de tratamientos para los que es obligatorio realizar una evaluación de impacto

El artículo 35 del Reglamento UE 2016/679, General de Protección de Datos del Parlamento Europeo y del Consejo, de 27 de abril (RGPD) establece la obligación del responsable del tratamiento de realizar una evaluación del impacto de determinadas operaciones de tratamiento en la protección de datos personales (EIPD). Este listado que publica la AEPD clarifica los casos en que es necesario realizar dicha evaluación.

El apartado 4 del mencionado artículo indica que serán las autoridades de control, en este caso la Agencia Española de Protección de Datos (AEPD), las que establezcan y publiquen una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto y la comuniquen al Comité Europeo de Protección de Datos.

Esta lista recoge algunos casos concretos de los supuestos generales que se reflejan en el artículo 35, pero establece como requisito que el tratamiento cumpla con dos o más criterios de la lista, lo que reduce las posibilidades. Además, indica la AEPD que será necesaria la EIPD en la mayoría de los casos en que esto suceda, por lo que, incluso cumpliendo dos o más criterios, podría darse el caso de no encontrarnos en la obligación de realizar una EIPD, lo que será difícil de valorar. La idea, por tanto, es que cuantos más criterios de la lista se cumplan, mayor será el riesgo que se asume y más posibilidades hay de tener que hacer una EIPD, o más poderosos tendrán que ser los argumentos para no hacerla.

Entre estos criterios encontramos la realización de perfilado, que nos remite vía ejemplos al ámbito laboral, quizá dando a entender que no es un terreno exclusivo de unos pocos; la toma de decisiones que afecten al interesado, especialmente si tienen algún efecto impeditivo para él; la observación, monitorización o geolocalización; el uso de datos biométricos para identificar de forma unívoca a una persona; el uso de datos genéticos; el tratamiento de datos de sujetos vulnerables o en riesgo de exclusión social, con especial referencia a personas que acceden a servicios sociales y víctimas de violencia de género; el procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información, como pueden ser los servicios web, televisión interactiva o aplicaciones móviles; la combinación de registros o la combinación de tecnologías para realizar un tratamiento; e, incluso, tratamientos desconocidos por el interesado por aplicarse alguna excepción al principio de información y que son realizados por responsables que no son los que realizaron la recogida.

Esta lista arroja un poco de luz y sigue sembrando dudas al incluir indicaciones poco precisas, como el cumplimiento de dos o más criterios, o aquello de que la mayoría de los tratamientos que los cumplan estarán sujetos a la obligación.

En cualquier caso hay que tener en cuenta que no basta con que nuestro tratamiento no esté en la lista, también habría que analizar si no estando en la lista podría encontrarse entre los tratamientos a los que se refiere el artículo 35, y en última instancia si no supone un alto riesgo por producir una grave vulneración de derechos y libertades fundamentales: impidiendo su ejercicio; dejándolo sin contenido; o porque pueda originar daños y perjuicios físicos, materiales o inmateriales (discriminación, rechazo, daño económico, perjuicio laboral, intromisión en la intimidad…).

Quedaremos, en todo caso, a la espera de la lista que indique los tratamientos que no requieren la realización de una evaluación de impacto que también prevé el apartado 5 del artículo 35 del RGPD.