"/ >

PAe - AEPD publishes the list of treatments in that it is obligatory to make an impact assessment
the accesskey _ mod _ content

La AEPD publica el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto

08 May 2019

Organizations seeking data are forced to make an impact assessment when it is likely that this treatment involves a high risk for the rights and freedoms of individuals

La Agencia Española de Protección de Datos (AEPD) ha publicado el  listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto (Opens in new window) . The General Regulation of data protection (RGPD) provides in article 35.1 that organizations seeking data have the obligation to make an impact assessment regarding data protection (EIPD) prior to the launch of these treatments when it is likely that, according to its nature, scope, context or purposes, pose a high risk for the rights and freedoms of individuals.

Por otro lado, el apartado 4 de ese mismo artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

The Agency has defined that will require a EIPD in most cases in which treatment complies with two or more criteria of the list, among which are conducting shaped; observation, geolocation or control systematically and comprehensively; the use of biometric data to univocally identify a person; identifying soundness or processing of unique identifiers to identify users of services of the information society such as web services, interactive television or mobile applications, among other treatments. The more criteria meets the treatment in question, the greater the risk involving and greater certainty of the need to make an impact assessment.

Impact assessments

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Como herramienta de ayuda al cumplimiento, la Agencia presentó con anterioridad a la aplicación del RGPD las guías de  Risk analysis (Opens in new window) and Impact assessment in data protection (Opens in new window) . La Guía de Evaluación de Impacto en la Protección de Datos ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.

Original source of the news (Opens in new window)

  • Open government
General access point
 
General access point