L'Agència Espanyola de Protecció de Dades (AEPD) ha publicat el llistat de tractaments de dades personals en els quals no és obligatòria la realització d'una avaluació d'impacte
, amb l'objectiu de facilitar als responsables la identificació d'este tipus de tractaments. El Reglament General de Protecció de Dades (RGPD) arreplega en el seu article 35.1 que les organitzacions que tracten dades estan obligades a realitzar una Avaluació d'Impacte relativa a la Protecció de Dades (EIPD) abans d'efectuar aquests tractaments quan siga probable que, en funció de la seua naturalesa, abast, context o finalitats, comporten un alt risc per als drets i llibertats de les persones.
D'altra banda, l'apartat 5 del mateix article establix que les autoritats de control podran publicar la llista dels tipus de tractament que no requerixen una avaluació d'impacte. Així mateix, i com contempla el RGPD, l'Agència ha comunicat al Comité Europeu de Protecció de Dades (CEPD) el llistat, que també es troba disponible en anglés . Esta llista, que no eximix de complir la resta d'obligacions establides en la normativa de protecció de dades, complementa a la publicada amb anterioritat per l'Agència on figuren aquells tractaments en els quals sí és obligatori dur a terme una EIPD .
L'Agència ha definit que no serà necessari realitzar una EIPD quan es realitzen tractaments baix directrius contingudes en circulars o decisions emeses prèviament per les Autoritats de Control, en particular l'AEPD, sempre que el tractament no s'haja modificat des que va ser autoritzat.
Tampoc es requerix si el tractament es realitza complint amb codis de conducta aprovats per la Comissió Europea o les Autoritats de Control, sempre que ja s'haguera dut a terme una EIPD per a validar aquest codi de conducta i incloguera les salvaguardes definides en l'Avaluació d'Impacte.
Dins dels tractaments que formen part del llistat també es troben, entre uns altres, aquells que duguen a terme els treballadors autònoms que exercisquen de manera individual, en particular metges, professionals de la salut o advocats, sense perjuí que puga requerir-se quan aquests tractaments complisquen amb dos o més criteris establits en la llista de tipus de tractaments de dades que requerixen EIPD; així com els obligatoris per llei i realitzats en relació amb la gestió interna del personal de les pimes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
Les Avaluacions d'impacte
El Reglament establix que en aquells casos en els quals siga probable que els tractaments comporten un alt risc per als drets i llibertats de les persones físiques incumbix al responsable del tractament realitzar una avaluació d'impacte relativa a la protecció de dades, que avalue, en particular, l'origen, la naturalesa, la particularitat i la gravetat del risc.
L'AEPD ha publicat amb anterioritat diferents recursos per a facilitar el compliment d'esta obligació, com la Guia per a les avaluacions d'impacte en la protecció de dades personals ; la llista de tipus de tractaments de dades que requerixen EIPD ; Gestiona , una ferramenta per a realitzar anàlisi de riscos i evolucions d'impacte, o el model d'informe d'EIPD per a Administracions Públiques .
