L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el llistat de tractaments de dades personals en els quals no és obligatòria la realització d'una avaluació d'impacte , amb l'objectiu de facilitar als responsables la identificació d'aquest tipus de tractaments. El Reglament General de Protecció de Dades (RGPD) recull en el seu article 35.1 que les organitzacions que tractin dades estan obligades a realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) abans d'efectuar aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o finalitats, comportin un alt risc per als drets i llibertats de les persones.
D'altra banda, l'apartat 5 del mateix article estableix que les autoritats de control podran publicar la llista dels tipus de tractament que no requereixen una avaluació d'impacte. Així mateix, i com contempla el RGPD, l'Agència ha comunicat al Comitè Europeu de Protecció de Dades (CEPD) el llistat, que també es troba disponible en anglès . Aquesta llista, que no eximeix de complir la resta d'obligacions establertes en la normativa de protecció de dades, complementa a la publicada amb anterioritat per l'Agència on figuren aquells tractaments en els quals sí és obligatori dur a terme una EIPD .
L'Agència ha definit que no serà necessari realitzar una EIPD quan es realitzin tractaments sota directrius contingudes en circulars o decisions emeses prèviament per les Autoritats de Control, en particular l'AEPD, sempre que el tractament no s'hagi modificat des que va ser autoritzat.
Tampoc es requereix si el tractament es realitza complint amb codis de conducta aprovats per la Comissió Europea o les Autoritats de Control, sempre que ja s'hagués dut a terme una EIPD per validar aquest codi de conducta i inclogués les salvaguardes definides en l'Avaluació d'Impacte.
Dins dels tractaments que formen part del llistat també es troben, entre uns altres, aquells que duguin a terme els treballadors autònoms que exerceixin de manera individual, en particular metges, professionals de la salut o advocats, sense perjudici que pugui requerir-se quan aquests tractaments compleixin amb dos o més criteris establerts en la llista de tipus de tractaments de dades que requereixen EIPD; així com els obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
Les Avaluacions d'impacte
El Reglament estableix que en aquells casos en els quals sigui probable que els tractaments comportin un alt risc per als drets i llibertats de les persones físiques incumbeix al responsable del tractament realitzar una avaluació d'impacte relativa a la protecció de dades, que avaluï, en particular, l'origen, la naturalesa, la particularitat i la gravetat del risc.
L'AEPD ha publicat amb anterioritat diferents recursos per facilitar el compliment d'aquesta obligació, com la Guia per a les avaluacions d'impacte en la protecció de dades personals ; la llista de tipus de tractaments de dades que requereixen EIPD ; Gestiona , una eina per realitzar anàlisi de riscos i evolucions d'impacte, o el model d'informe d'EIPD per a Administracions Públiques .