L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el llistat de tractaments de dades personals en els quals no és obligatòria la realització d'una avaluació d'impacte , con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos. El Reglamento General de Protección de Datos (RGPD) recoge en su artículo 35.1 que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.
D'altra banda, l'apartat 5 del mateix article estableix que les autoritats de control podran publicar la llista dels tipus de tractament que no requereixen una avaluació d'impacte. Així mateix, i com contempla el RGPD, l'Agència ha comunicat al Comitè Europeu de Protecció de Dades (CEPD) el llistat, que també es troba disponible en anglès . Aquesta llista, que no eximeix de complir la resta d'obligacions establertes en la normativa de protecció de dades, complementa a la publicada amb anterioritat per l'Agència on figuren aquells tractaments en els quals sí és obligatori dur a terme una EIPD .
L'Agència ha definit que no serà necessari realitzar una EIPD quan es realitzin tractaments sota directrius contingudes en circulars o decisions emeses prèviament per les Autoritats de Control, en particular l'AEPD, sempre que el tractament no s'hagi modificat des que va ser autoritzat.
Tampoc es requereix si el tractament es realitza complint amb codis de conducta aprovats per la Comissió Europea o les Autoritats de Control, sempre que ja s'hagués dut a terme una EIPD per validar aquest codi de conducta i inclogués les salvaguardes definides en l'Avaluació d'Impacte.
Dins dels tractaments que formen part del llistat també es troben, entre uns altres, aquells que duguin a terme els treballadors autònoms que exerceixin de manera individual, en particular metges, professionals de la salut o advocats, sense perjudici que pugui requerir-se quan aquests tractaments compleixin amb dos o més criteris establerts en la llista de tipus de tractaments de dades que requereixen EIPD; així com els obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
Les Avaluacions d'impacte
El Reglament estableix que en aquells casos en els quals sigui probable que els tractaments comportin un alt risc per als drets i llibertats de les persones físiques incumbeix al responsable del tractament realitzar una avaluació d'impacte relativa a la protecció de dades, que avaluï, en particular, l'origen, la naturalesa, la particularitat i la gravetat del risc.
L'AEPD ha publicat amb anterioritat diferents recursos per facilitar el compliment d'aquesta obligació, com la Guia per a les avaluacions d'impacte en la protecció de dades personals ; la llista de tipus de tractaments de dades que requereixen EIPD ; Gestiona , una eina per realitzar anàlisi de riscos i evolucions d'impacte, o el model d'informe d'EIPD per a Administracions Públiques .