Criterios definitivos para hacer una Evaluación de Impacto

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

La AEPD ha publicado la Black List y la White List donde se recogen los tratamientos que requieren o están exentos de realizar una evaluación de impacto, respectivamente. Si bien ya existía la obligación de realizar una PIA en caso de tratamientos que entrañen un riesgo elevado, es el propio artículo 35 del RGPD, en sus apartados 4 y 5, el que establece que este clase de “listas” deberán clarificar los supuestos en los que efectivamente tendrá que llevarse a cabo una evaluación de impacto.

Así pues, será necesario realizar una EIPD en los casos en los que dicho tratamiento cumpla con dos o más criterios de la Black List que disponemos a continuación:

  1. Tratamientos que impliquen la elaboración de perfiles donde se cubran aspectos de la personalidad o hábitos del sujeto.
  2. Cuando se trate de toma de decisiones automatizadas.
  3. Tratamientos que impliquen la observación, geolocalización o control del interesado de forma sistemática y exhaustiva.
  4. En el caso de tratamientos que impliquen el uso de categorías especiales o de datos relativos a condenas o infracciones penales.
  5. Tratamientos que impliquen el uso de datos biométricos.
  6. Tratamientos de datos genéticos.
  7. Tratamientos de datos a gran escala.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de individuos vulnerables o en riesgo de exclusión social, menores o con discapacidad.
  10. Uso de nuevas tecnologías o uso innovador de tecnologías consolidadas de forma que supongan nuevas formas de recogidas y utilización de datos.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.

Los tratamientos que no requieran una EIPD (artículo 35.5 RGPD) y que, por tanto, conforman la White List son los siguientes:

  1. Tratamientos que se realizan bajo las directrices autorizadas con anterioridad por la autoridad competente, como puede ser la AEPD,  siempre y cuando el tratamiento no se haya modificado desde que fue autorizado. 
  2. Tratamientos que se realizan bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, , siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta.
  3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  4. Tratamientos realizados  en el ejercicio de su  labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular profesionales de la salud, médicos o abogados, siempre que no cumplan con dos o más criterios establecidos de la Black List.
  5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES siempre que no sean relativos a clientes.
  6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en la Ley de Propiedad Horizontal.
  7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes.

No queremos dejar de señalar que en el caso que en un primer análisis cualitativo se concluya que no es necesario realizar la EIPD, la decisión deberá quedar suficientemente fundamentada

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Artículo redactado por:

Pedro Simón

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax 08/07/2020 16:00h Cualquier organización puede estar expuesta a ser sancionada por incumplir

REGÍSTRATE AHORA »