Supuestos en los que no es obligatorio elaborar una evaluación de impacto

Escrito por Carme Setó | Nuevas tecnologías

25/09/2019

El pasado 4 de septiembre la Agencia Española de Protección de Datos (AEPD) publicó un listado de tratamientos en los que no resulta obligatorio la realización de una evaluación de impacto relativa a la protección de datos personales (EIPD), con el objetivo de facilitar a los responsables del tratamiento la identificación de aquellos tratamientos de datos que no sé ven afectado por una EIPD.


La citada lista complementa la publicada el pasado mes de mayo de 2019 por la AEPD donde figuran aquellos tratamientos en los que sí es obligatorio llevar a cabo una EIPD.


El Reglamento General de Protección de Datos del Parlamento Europeo y del Consejo (RGPD) establece en su artículo 35.1. que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas, es obligación del responsable del tratamiento realizar una EIPD, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo. Asimismo, el mismo artículo prevé en su apartado 5º la posibilidad a las Autoridades de Control, entre éstas la AEPD, a publicar un listado con aquellos tratamientos en los que no es obligatorio llevar a cabo una EIPD.


Dicha lista y que incluye siete supuestos puede ser consultada en la página web de la AEPD destacando que no es una lista de exención del resto de obligaciones que establece el RGPD.


De entre los tratamientos que no es obligatorio elaborar una EIPD y que constan en la citada lista cabe destacar aquellos tratamientos realizados por responsables del tratamiento en el ejercicio de su labor profesional y en su condición de trabajadores autónomos que ejerzan de forma individual, en particular abogados, médicos, profesionales de la salud como sería el supuesto de farmacéuticos u ópticos, entre otros que tengan tal calificación; todo ello sin perjuicio de que sea necesario realizarla si se cumple de forma significativa con dos o más criterios establecidos en la lista de tipos de tratamientos en los que sí es obligatorio llevar a cabo una EIPD indicada anteriormente.



También se incluye en dicho listado excluyente aquellos tratamientos obligatorios por Ley y realizados con relación a cualquier gestión interna del personal de las PYMES, pero nunca relativos a los datos de los clientes así como, aquellos tratamientos llevados a cabo por (i) comunidades y subcomunidades de propietarios y, (ii) por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados.


En cualquier caso, tal y como recuerda la AEPD resulta necesario llevar a cabo un análisis previo para fundamentar si resulta necesario o no elaborar una EIPD ante un tratamiento determinado y, sobre todo, tener presente que la no necesidad de llevar a cabo dicha evaluación no exime del cumplimiento del resto de obligaciones que prevé el RGPD.


Consulte la lista completa de la AEPD en este enlace.


Puede contactar con nosotros para cualquier cuestión al respecto o duda adicional para la que pueda precisar de asesoramiento profesional.



Carme Setó

Escrito por:
Carme Setó




< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX