A Axencia Española de Protección de Datos (AEPD) publicou a listado de tratamentos de datos persoais nos que é obrigatoria a realización dunha avaliación de impacto . O Regulamento Xeral de Protección de Datos (RGPD) establece no seu artigo 35.1 que as organizacións que tratan datos teñen obriga de realizar unha Avaliación de Impacto relativa á Protección de Datos (EIPD) con anterioridade á posta en funcionamento dos este tratamentos cando sexa probable que, en función da súa natureza, alcance, contexto ou fins, entrañen un alto risco para os dereitos e liberdades das persoas.
Doutra banda, o apartado 4 dese mesmo artigo prevé que cada autoridade de control estableza e publique unha lista dos tipos de operacións de tratamento que requiran dunha avaliación de impacto. Esta lista ten, por tanto, a finalidade de ofrecer seguridade aos responsables respecto de cales son os tratamentos en que sempre se considerará que é probable que exista un alto risco. Tamén de acordo con o previsto polo RGPD, a lista foi comunicada ao Comité Europeo de Protección de Datos, que emitiu un ditame favorable sobre ela, seguindo os criterios establecidos na valoración de todas as listas remitidas polas autoridades nacionais.
La Agencia ha definido que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto.