"/ >

PAe - AEPD publishes the list of treatments in that it is obligatory to make an impact assessment
the accesskey _ mod _ content

La AEPD publica el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto

08 May 2019

Las organizaciones que tratan datos están obligadas a realizar una evaluación de impacto cuando sea probable que ese tratamiento entrañe un alto riesgo para los derechos y libertades de las personas

La Agencia Española de Protección de Datos (AEPD) ha publicado el  list of treatments of personal data which is mandatory the realization of an impact assessment (Opens in new window) . The General Regulation of data protection (RGPD) provides in article 35.1 that organizations seeking data have the obligation to make an impact assessment regarding data protection (EIPD) prior to the launch of these treatments when it is likely that, according to its nature, scope, context or purposes, pose a high risk for the rights and freedoms of individuals.

On the other hand, paragraph 4 of the same article stipulates that each control authority set and publish a list of the types of operations of treatment that require an impact assessment. This list is therefore intended to provide security for those responsible for what treatments that will always it is likely that there is a high risk. Also as envisaged by the RGPD, the list has been communicated to the European Committee of data protection, which has delivered a favourable opinion on it, following the criteria in the valuation of all the lists referred by national authorities.

La Agencia ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto.

Impact assessments

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

As a tool to support compliance, the agency presented prior to the implementation of the guides RGPD Risk analysis (Opens in new window) and Impact assessment in data protection (Opens in new window) . La Guía de Evaluación de Impacto en la Protección de Datos ayuda a las organizaciones a identificar las actividades que conllevan un alto riesgo, afrontar y gestionar los posibles peligros antes de que produzcan y establecer las medidas de control más adecuadas para minimizar el mismo antes de iniciar el tratamiento. En el proceso de la evaluación, la organización debe conocer para qué y cómo se van a utilizar los datos, identificar, evaluar y tratar los riesgos potenciales y elaborar un plan de acción donde se incluyan las medidas de control para garantizar los derechos y libertades de las personas.

Original source of the news (Opens in new window)

  • Open government
General access point
 
General access point