L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat el llistat de tractament de dades personals on és obligatori realitzar una avaluació d’impacte.
L’apartat 1 de l’article 35 del Reglament General de Protecció de Dades (RGPD) estableix, amb caràcter general, l’obligació de que les organitzacions que tracten dades tenen l’obligació de realitzar una Avaluació d’Impacte relativa a la Protecció de Dades (AIPD) abans de posar-los en funcionament quan sigui probable que, en funció de la seva naturalesa, comportin un alt risc pels drets i llibertats de les persones.
Per altra banda, l’article 35.3 RGPD, estableix que l’AIPD es requerirà en particular en cas de:
a) avaluació sistemàtica i exhaustiva d’aspectes personals de persones físiques que es basi en un tractament automatitzat, com l’elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;
b) tractament a gran escala de les categories especials de dades a què es refereix l’article 9, apartat 1 del RGPD, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l’article 10, o
c) observació sistemàtica a gran escala d’una zona d’accés públic.
L’apartat 4 preveu que cada autoritat estableixi i publiqui un llistat dels tipus d’operacions de tractaments que requereixin una avaluació d’impacte. Aquesta llista té la finalitat d’oferir seguretat als responsables respecte a quins són els tractaments en els quals sempre es considerarà que és probable que hi hagi un alt risc. D’acord amb el previst pel RGPD, el llistat ha estat comunicat al Comitè Europeu de Protecció de Dades, que ha emès un dictamen favorable.
L’AEPD ha determinat que serà necessari realitzar una EIPD en la majoria dels casos en els quals el tractament compleixi amb dos o més criteris de la llista, entre els quals hi ha tractaments que impliquin un perfilat o valoració de subjectes; observació, monitorització, supervisió, geolocalització o control sistemàtic i exhaustiu; l’ús de dades biomètriques per identificar a una persona; l’ús de dades genètiques per a qualsevol finalitat; l’ús de dades a gran escala; l’ús de dades que impedeixin als interessats exercir els seus drets; l’ús de noves tecnologies amb l’objectiu de la recollida i la utilització de dades que suposin un risc pels drets i llibertats de les persones; l’ús de dades de persones vulnerables o amb risc d’exclusió social o bé l’ús de dades que permetin determinar la situació financera. Com més criteris reuneixi el tractament, major serà el risc que comporti i major la certesa de la necessitat d’una avaluació d’impacte.