La Agencia Española de Protección de Datos (AEPD) ha publicado un listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos.
La Agencia Española de Protección de Datos
(AEPD) ha publicado un listado de tratamientos de datos personales en
los que no es obligatoria la realización de una evaluación de impacto.
Por ejemplo, la AEPD ha establecido que no será necesario realizar una
evaluación cuando se realicen tratamientos bajo directrices contenidas
en circulares o decisiones emitidas previamente por las Autoridades de
Control (en particular la AEPD) siempre y cuando el tratamiento no se
haya modificado desde que fue autorizado.
(AEPD) ha publicado un listado de tratamientos de datos personales en
los que no es obligatoria la realización de una evaluación de impacto.
Por ejemplo, la AEPD ha establecido que no será necesario realizar una
evaluación cuando se realicen tratamientos bajo directrices contenidas
en circulares o decisiones emitidas previamente por las Autoridades de
Control (en particular la AEPD) siempre y cuando el tratamiento no se
haya modificado desde que fue autorizado.
También ha fijado que no se requerirá una evaluación de impacto si el
tratamiento se realiza cumpliendo con códigos de conducta aprobados por
la Comisión Europea o las Autoridades de Control, siempre que ya se
hubiera llevado a cabo una evaluación para validar dicho código de
conducta.
tratamiento se realiza cumpliendo con códigos de conducta aprobados por
la Comisión Europea o las Autoridades de Control, siempre que ya se
hubiera llevado a cabo una evaluación para validar dicho código de
conducta.
El Reglamento General de Protección de Datos (RGPD) establece que las
organizaciones que traten datos están obligadas a realizar una
Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de
efectuar dichos tratamientos cuando sea probable que, en función de su
naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los
derechos y libertades de las personas.
organizaciones que traten datos están obligadas a realizar una
Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de
efectuar dichos tratamientos cuando sea probable que, en función de su
naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los
derechos y libertades de las personas.
Por otra parte, establece que las autoridades de control podrán
publicar la lista de los tipos de tratamiento que no requieren una
evaluación de impacto. Asimismo, y como contempla el RGPD, la Agencia ha
comunicado al Comité Europeo de Protección de Datos (CEPD) el listado,
que también se encuentra disponible en inglés. Esta lista, que no exime
de cumplir el resto de obligaciones establecidas en la normativa de
protección de datos, complementa a la publicada con anterioridad por la
Agencia donde figuran aquellos tratamientos en los que sí es obligatorio
llevar a cabo una EIPD.
publicar la lista de los tipos de tratamiento que no requieren una
evaluación de impacto. Asimismo, y como contempla el RGPD, la Agencia ha
comunicado al Comité Europeo de Protección de Datos (CEPD) el listado,
que también se encuentra disponible en inglés. Esta lista, que no exime
de cumplir el resto de obligaciones establecidas en la normativa de
protección de datos, complementa a la publicada con anterioridad por la
Agencia donde figuran aquellos tratamientos en los que sí es obligatorio
llevar a cabo una EIPD.
La Agencia ha definido que no será necesario realizar una EIPD cuando
se realicen tratamientos bajo directrices contenidas en circulares o
decisiones emitidas previamente por las Autoridades de Control, en
particular la AEPD, siempre y cuando el tratamiento no se haya
modificado desde que fue autorizado.
se realicen tratamientos bajo directrices contenidas en circulares o
decisiones emitidas previamente por las Autoridades de Control, en
particular la AEPD, siempre y cuando el tratamiento no se haya
modificado desde que fue autorizado.
Tampoco se requiere si el tratamiento se realiza cumpliendo con
códigos de conducta aprobados por la Comisión Europea o las Autoridades
de Control, siempre que ya se hubiera llevado a cabo una EIPD para
validar dicho código de conducta e incluyera las salvaguardas definidas
en la Evaluación de Impacto.
códigos de conducta aprobados por la Comisión Europea o las Autoridades
de Control, siempre que ya se hubiera llevado a cabo una EIPD para
validar dicho código de conducta e incluyera las salvaguardas definidas
en la Evaluación de Impacto.
Dentro de los tratamientos que forman parte del listado también se
encuentran, entre otros, aquellos que lleven a cabo los trabajadores
autónomos que ejerzan de manera individual, en particular médicos,
profesionales de la salud o abogados, sin perjuicio de que pueda
requerirse cuando dichos tratamientos cumplan con dos o más criterios
establecidos en la lista de tipos de tratamientos de datos que requieren
EIPD; así como los obligatorios por ley y realizados con relación a la
gestión interna del personal de las pymes con finalidad de contabilidad,
gestión de recursos humanos y nóminas, seguridad social y salud
laboral, pero nunca relativos a los datos de los clientes.
encuentran, entre otros, aquellos que lleven a cabo los trabajadores
autónomos que ejerzan de manera individual, en particular médicos,
profesionales de la salud o abogados, sin perjuicio de que pueda
requerirse cuando dichos tratamientos cumplan con dos o más criterios
establecidos en la lista de tipos de tratamientos de datos que requieren
EIPD; así como los obligatorios por ley y realizados con relación a la
gestión interna del personal de las pymes con finalidad de contabilidad,
gestión de recursos humanos y nóminas, seguridad social y salud
laboral, pero nunca relativos a los datos de los clientes.
Las Evaluaciones de impacto
El Reglamento establece que en aquellos casos en los que sea probable
que los tratamientos entrañen un alto riesgo para los derechos y
libertades de las personas físicas incumbe al responsable del
tratamiento realizar una evaluación de impacto relativa a la protección
de datos, que evalúe, en particular, el origen, la naturaleza, la
particularidad y la gravedad del riesgo.
que los tratamientos entrañen un alto riesgo para los derechos y
libertades de las personas físicas incumbe al responsable del
tratamiento realizar una evaluación de impacto relativa a la protección
de datos, que evalúe, en particular, el origen, la naturaleza, la
particularidad y la gravedad del riesgo.
La AEPD ha publicado con anterioridad distintos recursos para
facilitar el cumplimiento de esta obligación, como la Guía para las
evaluaciones de impacto en la protección de datos personales; la lista
de tipos de tratamientos de datos que requieren EIPD; Gestiona, una
herramienta para realizar análisis de riesgos y evoluciones de impacto, o
el modelo de informe de EIPD para Administraciones Públicas.
facilitar el cumplimiento de esta obligación, como la Guía para las
evaluaciones de impacto en la protección de datos personales; la lista
de tipos de tratamientos de datos que requieren EIPD; Gestiona, una
herramienta para realizar análisis de riesgos y evoluciones de impacto, o
el modelo de informe de EIPD para Administraciones Públicas.
Ver listado: https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,
José María Quintanar Isasi