A Axencia Española de Protección de Datos (AEPD) publicou a listado de tratamentos de datos persoais nos que non é obrigatoria a realización dunha avaliación de impacto
, co obxectivo de facilitar aos responsables a identificación deste tipo de tratamentos. O Regulamento Xeral de Protección de Datos (RGPD) recolle no seu artigo 35.1 que as organizacións que traten datos están obrigadas a realizar unha Avaliación de Impacto relativa á Protección de Datos (EIPD) antes de efectuar este tratamentos cando sexa probable que, en función da súa natureza, alcance, contexto ou fins, entrañen un alto risco para os dereitos e liberdades das persoas.
Por outra banda, o apartado 5 do mesmo artigo establece que as autoridades de control poderán publicar a lista dos tipos de tratamento que non requiren unha avaliación de impacto. Así mesmo, e como contempla o RGPD, a Axencia comunicou ao Comité Europeo de Protección de Datos (CEPD) a listaxe, que tamén se atopa dispoñible en inglés inglés . Esta lista, que non exime de cumprir o resto de obrigas establecidas na normativa de protección de datos, complementa á publicada con anterioridade pola Axencia onde figuran aqueles tratamentos tratamentos nos que si é obrigatorio levar a cabo unha EIPD .
A Axencia definiu que non será necesario realizar unha EIPD cando se realicen tratamentos baixo directrices contidas en circulares ou decisións emitidas previamente polas Autoridades de Control, en particular a AEPD, a condición de que o tratamento non se modificou desde que foi autorizado.
Tampouco se require se o tratamento realízase cumprindo con códigos de conduta aprobados pola Comisión Europea ou as Autoridades de Control, sempre que xa se levou a cabo unha EIPD para validar o este código de conduta e incluíse salvagárdalas definidas na Avaliación de Impacto.
Dentro dos tratamentos que forman parte da listaxe tamén se atopan, entre outros, aqueles que leven a cabo os traballadores autónomos que exerzan de maneira individual, en particular médicos, profesionais da saúde ou avogados, sen prexuízo de que poida requirirse cando este tratamentos cumpran con dous ou máis criterios establecidos na lista de tipos de tratamentos de datos que requiren EIPD; así como os obrigatorios por lei e realizados con relación á xestión interna do persoal das pemes con finalidade de contabilidade, xestión de recursos humanos e nóminas, seguridade social e saúde laboral, pero nunca relativos aos datos dos clientes.
As Avaliacións de impacto
O Regulamento establece que naqueles casos nos que sexa probable que os tratamentos entrañen un alto risco para os dereitos e liberdades das persoas físicas incumbe ao responsable do tratamento realizar unha avaliación de impacto relativa á protección de datos, que avalíe, en particular, a orixe, a natureza, a particularidade e a gravidade do risco.
A AEPD publicou con anterioridade distintos recursos para facilitar o cumprimento desta obriga, como Guía para as avaliacións de impacto na protección de datos persoais ; a lista de tipos de tratamentos de datos que requiren EIPD ; Xestiona , unha ferramenta para realizar análise de riscos e evolucións de impacto, ou o modelo de informe de EIPD para Administracións Públicas .
