Listado de tratamientos que exigen Evaluación de Impacto o pueden estar exentos de la misma

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que las organizaciones que tratan datos tienen obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

 

En relación con esto, el artículo 35.4 RGPD prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

 

Puedes consultar en el siguiente enlace la lista de operaciones de tratamiento que requieren la mencionada evaluación de impacto.

 

Por otra parte, para facilitar a los responsables de los tratamientos la identificación de aquellos tratamientos que no requieren una EIPD, el RGPD, en su artículo 35.5, dispone que las autoridades de control podrán publicar una lista con los tratamientos que no requieran de la elaboración de una EIPD. Dicha lista deberá ser comunicada al Comité Europeo de Protección de Datos (CEPD).

 

Puedes consultar en el siguiente enlace la lista orientativa de tipos de tratamientos que no requieren la evaluación de impacto.