L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el llistat de tractaments de dades personals en els quals no és obligatòria la realització d'una avaluació d'impacte , amb l'objectiu de facilitar als responsables la identificació d'este tipus de tractaments. El Reglament General de Protecció de Dades (RGPD) arreplega en el seu article 35.1 que les organitzacions que tracten dades estan obligades a realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) abans d'efectuar aquests tractaments quan siga probable que, en funció de la seua naturalesa, abast, context o finalitats, comporten un alt risc per als drets i llibertats de les persones.
D'altra banda, l'apartat 5 del mateix article establix que les autoritats de control podran publicar la llista dels tipus de tractament que no requerixen una avaluació d'impacte. Així mateix, i com contempla el RGPD, l'Agència ha comunicat al Comité Europeu de Protecció de Dades (CEPD) el llistat, que també es troba disponible en anglés . Esta llista, que no eximix de complir la resta d'obligacions establides en la normativa de protecció de dades, complementa a la publicada amb anterioritat per l'Agència on figuren aquells tratamientos en los que sí es obligatorio llevar a cabo una EIPD
.
L'Agència ha definit que no serà necessari realitzar una EIPD quan es realitzen tractaments baix directrius contingudes en circulars o decisions emeses prèviament per les Autoritats de Control, en particular l'AEPD, sempre que el tractament no s'haja modificat des que va ser autoritzat.
Tampoc es requerix si el tractament es realitza complint amb codis de conducta aprovats per la Comissió Europea o les Autoritats de Control, sempre que ja s'haguera dut a terme una EIPD per a validar aquest codi de conducta i incloguera les salvaguardes definides en l'Avaluació d'Impacte.
Dins dels tractaments que formen part del llistat també es troben, entre uns altres, aquells que duguen a terme els treballadors autònoms que exercisquen de manera individual, en particular metges, professionals de la salut o advocats, sense perjuí que puga requerir-se quan aquests tractaments complisquen amb dos o més criteris establits en la llista de tipus de tractaments de dades que requerixen EIPD; així com els obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
Les Avaluacions d'impacte
El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.
L'AEPD ha publicat amb anterioritat diferents recursos per a facilitar el compliment d'esta obligació, com la Guia per a les avaluacions d'impacte en la protecció de dades personals ; la llista de tipus de tractaments de dades que requerixen EIPD
; Gestiona
, una ferramenta per a realitzar anàlisi de riscos i evolucions d'impacte, o el model d'informe d'EIPD per a Administracions Públiques
.