"/>

The Agency - PAe Spanish data protection publishes the list of treatments in which it is not necessary to make an impact assessment
the accesskey _ mod _ content

The Spanish Agency of data protection publishes the list of treatments in which it is not necessary to make an impact assessment

September 12 2019

La AEPD ha elaborado esta lista para ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar una evaluación de impacto en la protección de datos.

La Agencia Española de Protección de Datos (AEPD) ha publicado el list of treatments of personal data which is not compulsory the realization of an impact assessment (Opens in new window) , con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos. El Reglamento General de Protección de Datos (RGPD) recoge en su artículo 35.1 que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Moreover, paragraph 5 of the same article stipulates that the supervisory authorities may publish the list of the types of treatment that do not require an impact assessment. Similarly, as does the RGPD, the agency has communicated to the committee European data protection (CEPD) the list, which is also available in English (Opens in new window) . Esta lista, que no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos, complementa a la publicada con anterioridad por la Agencia donde figuran aquellos treatments in which it is obligatory to carry out a EIPD (Opens in new window) .

La Agencia ha definido que no será necesario realizar una EIPD cuando se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

Tampoco se requiere si el tratamiento se realiza cumpliendo con códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, siempre que ya se hubiera llevado a cabo una EIPD para validar dicho código de conducta e incluyera las salvaguardas definidas en la Evaluación de Impacto.

Within the treatments that form part of the list also include, among others, those who carry out self-employed workers exercising individually, including doctors, health professionals or lawyers, without prejudice that may be required when those treatments comply with two or more criteria in the list of types of data treatments requiring EIPD; as well as required by law and made regarding the internal management of SMEs with purpose of accounting, human resource management and payroll, social security and occupational health, but never concerning data from customers.

Impact assessments

The regulation states that in cases where it is likely that treatments involve a high risk for the rights and freedoms of individuals is the person responsible for processing make an impact assessment regarding data protection, to assess, in particular, the origin, nature, the particularity and severity of risk.

La AEPD ha publicado con anterioridad distintos recursos para facilitar el cumplimiento de esta obligación, como la Guide for impact assessments for personal data protection (Opens in new window) ; list of types of data treatments requiring EIPD (Opens in new window) ; Managed (Opens in new window) , a tool for risk analysis and evolution of impact, or report model for public administrations EIPD (Opens in new window) .

Original source of the news (Opens in new window)

  • Security
General access point
 
General access point