Mucho se ha hablado durante los últimos meses acerca de las Evaluaciones de Impacto. Precisamente, y ante posibles dudas que solían acompañar a la realización de estas, la Agencia Española de Protección de Datos (AEPD) ha publicado recientemente un listado para ayudar a los responsables a identificar los tratamientos en los que no sería obligatorio realizar una Evaluación de impacto en la protección de datos.
Desde la web de AKELA, ya hemos tratado con anterioridad todos los aspectos relacionados con las Evaluaciones de Impacto. En esta ocasión, queremos acercarte al listado de la AEPD y entender así cuándo no es necesario realizar una Evaluación de Impacto.
PARTICULARIDADES EN RELACIÓN A LAS EVALUACIONES DE IMPACTO
El Reglamento General de Protección de Datos (RGPD) recoge en su artículo 35.5 que las autoridades de control podrán publicar la lista de los tipos de tratamiento que no requieren una evaluación de impacto. Por supuesto, la lista publicada por la AEPD no exime de cumplir con el resto de las obligaciones contempladas por la normativa.
Siempre que los tratamientos puedan suponer un riesgo alto para las libertades y derechos de personas físicas, el Reglamento establece que el responsable del tratamiento deberá realizar una evaluación de impacto pero siempre atendiendo al origen, la naturaleza, la particularidad y la gravedad del riesgo.
LISTA ORIENTATIVA DE TIPOS DE TRATAMIENTOS QUE NO REQUIEREN UNA EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS SEGÚN EL ARTÍCULO 35.5 RGPD
A continuación, compartimos el listado publicado por la AEPD donde quedaría reflejado qué tratamientos no requieren de una EIPD:
-
Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
-
Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en 1 Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679 2/2 C/ Jorge Juan, 6 www.aepd.es 28001 Madrid sedeagpd.gob.es particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
-
Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
-
Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
-
Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
-
Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
-
Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.
Puedes consultar el listado completo publicado en la web de la Agencia Española de Protección de Datos haciendo click a continuación: Cuándo no es necesario realizar una Evaluación de Impacto, listado publicado por la AEPD.
¿Tienes alguna duda sobre cuándo habría que realizar una Evaluación de Impacto y cuándo no?
Si quieres preguntarnos sobre una situación concreta, no dudes en contactar con nosotros a través del siguiente formulario. Será un placer poder ayudarte.
