La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamiento de datos personales donde es obligatorio realizar una evaluación de impacto.
El apartado 1 del artículo 35 del Reglamento General de Protección de Datos (RGPD) establece, con carácter general, la obligación de que las organizaciones que tratan datos tienen la obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (AIPD) antes de ponerlos en funcionamiento cuando sea probable que, en función de su naturaleza, conlleven un alto riesgo para los derechos y libertades de las personas.
Por otra parte, el artículo 35.3 RGPD, establece que el AIPD se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base tomen decisiones que produzcan efectos jurídicos para las personas físicas o que los afecten significativamente de manera similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
El apartado 4 prevé que cada autoridad establezca y publique un listado de los tipos de operaciones de tratamientos que requieran una evaluación de impacto. Esta lista tiene la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en los que siempre se considerará que es probable que haya un alto riesgo. De acuerdo con lo previsto por el RGPD, el listado ha sido comunicado al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable.
La AEPD ha determinado que será necesario realizar una EIPD en la mayoría de los casos en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que hay tratamientos que impliquen un perfilado o valoración de sujetos; observación, monitorización, supervisión, geolocalización o control sistemático y exhaustivo; el uso de datos biométricos para identificar a una persona; el uso de datos genéticos para cualquier fin; el uso de datos a gran escala; el uso de datos que impidan a los interesados ejercer sus derechos; el uso de nuevas tecnologías con el objetivo de la recogida y la utilización de datos que supongan un riesgo para los derechos y libertades de las personas; el uso de datos de personas vulnerables o con riesgo de exclusión social o bien el uso de datos que permitan determinar la situación financiera. Cuanto más criterios reúna el tratamiento, mayor será el riesgo de que comporte y mayor la certeza de la necesidad de una evaluación de impacto.