Logotipo-seleccionado-peq

El Reglamento General de Protección de Datos (RGPD) recoge en su Artículo 35.1, la obligación de realizar por parte de las organizaciones que traten datos personales, una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas. 

La Agencia Española de Protección de Datos (AEPD) ha emitido una relación de tratamientos de datos personales en los que no es obligatoria la realización de una EIPD, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos.  

La AEPD excluye a los autónomos y profesionales de la obligación del RGPD de la obligación de realizar una evaluación de impacto EIPD, elaborando dicha relación de tratamientos para ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar una EIPD. 

La relación completa, en la que se incluye a los autónomos y profesionales que ejerzan de forma individual, de estos tratamientos puede consultarse en https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf. 

Dentro de los tratamientos que forman parte de la relación se encuentran, entre otros, aquellos que lleven a cabo los trabajadores autónomos que ejerzan su actividad laboral de manera individual, en particular abogados, médicos o profesionales de la salud, sin perjuicio de que pueda requerirse cuando dichos tratamientos cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren EIPD; así como los obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los Clientes. 

Por otra parte, el apartado 5 del mencionado Artículo 35, establece que las autoridades de control podrán publicar la lista de los tipos de tratamiento que no requieren una evaluación de impacto. Asimismo, y como contempla el RGPD, la AEPD ha comunicado al Comité Europeo de Protección de Datos (CEPD) el listado, que también se encuentra disponible en inglés.  

Esta lista, que no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos, complementa a la publicada con anterioridad por la AEPD donde figuran aquellos tratamientos en los que sí es obligatorio llevar a cabo una EIPD, considerando que el Artículo 35.3establece que la EIPD se requerirá en particular en el caso de: 

  1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; 
  1. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o la
  1. observación sistemática a gran escala de una zona de acceso público.

Según la AEPD los tratamientos en los que sí es obligatorio llevar a cabo una EIPD están disponible para consulta en el siguiente enlace: 

https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf 

La AEPD ha definido que no será necesario realizar una EIPD cuando se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las Autoridades de Control, en particular de la propia AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado. 

Tampoco se requiere si el tratamiento se realiza cumpliendo con códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, siempre que ya se hubiera llevado a cabo una EIPD para validar dicho código de conducta e incluyera las salvaguardas definidas en la Evaluación de Impacto. 

El RGPD establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento el llevar a cabo una evaluación de impacto relativa a la protección de datos y que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo. 

La AEPD ha publicado con anterioridad distintos recursos para facilitar el cumplimiento de esta obligación, tales como: 

  • La Guía para las evaluaciones de impacto en la protección de datos personales; disponible en:

https://www.aepd.es/media/guias/guia-evaluaciones-de-impacto-rgpd.pdf 

  • La lista de tipos de tratamientos de datos que requieren EIPD; disponible en el enlace antes mencionado.
  • El modelo de informe de EIPD para Administraciones Públicas.

https://www.aepd.es/prensa/2019-07-09.html 

Es por ello que la publicación de la AEPD supone un elemento de interés y de gran ayuda en el cumplimiento del RGPD y para evitar dudas en los tratamientos de datos personales en los que no es obligatoria la realización de una EIPD, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos lo cual supone un respiro para las obligaciones que el RGPD impone a los trabajadores autónomos que ejerzan su actividad laboral de manera individual, tales como los mencionados abogados, médicos o profesionales de la salud, como responsables del tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. 

Contacto

Déjanos tus datos y contactaremos contigo sin compromiso.