A Axencia Española de Protección de Datos (AEPD) publicou a listado de tratamentos de datos persoais nos que é obrigatoria a realización dunha avaliación de impacto . O Regulamento Xeral de Protección de Datos (RGPD) establece no seu artigo 35.1 que as organizacións que tratan datos teñen obriga de realizar unha Evaluación de Impacto relativa á Protección de Datos (EIPD) con anterioridade á posta en funcionamento dos este tratamentos cando sexa probable que, en función da súa natureza, alcance, contexto ou fins, entrañen un alto risco para os dereitos e liberdades das persoas.
Doutra banda, o apartado 4 dese mesmo artigo prevé que cada autoridade de control estableza e publique unha lista dos tipos de operacións de tratamento que requiran dunha avaliación de impacto. Esta lista ten, por tanto, a finalidade de ofrecer seguridade aos responsables respecto de cales son os tratamentos en que sempre se considerará que é probable que exista un alto risco. Tamén de acordo con o previsto polo RGPD, a lista foi comunicada ao Comité Europeo de Protección de Datos, que emitiu un ditame favorable sobre ela, seguindo os criterios establecidos na valoración de todas as listas remitidas polas autoridades nacionais.
A Axencia definiu que será necesario realizar unha EIPD na maioría dos casos nos que nos que o tratamento cumpra con dous ou máis criterios da lista, entre os que se atopan a realización de perfilado; observación, geolocalización ou control de forma sistemática e exhaustiva; o uso de datos biométricos para identificar de forma unívoca a unha persoa; datos que permitan determinar a solvencia patrimonial ou procesamento de identificadores únicos que permitan identificar usuarios de servizos da sociedade da información como poden ser os servizos web, televisión interactiva ou aplicacións móbiles, entre outros tratamentos. Cuantos máis criterios reúna o tratamento en cuestión, maior será o risco que entrañe e maior a certeza da necesidade de realizar unha Avaliación de impacto.