¿Cuándo hay que realizar una Evaluación de Impacto en la Protección de Datos (EIPD)?

El Reglamento General de Protección de Datos establece que, siempre que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe realizar una evaluación de impacto relativa a la protección de datos, para identificar, evaluar y tratar los riesgos asociados a dicho tratamiento teniendo en cuenta, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

El citado Reglamento dispone que será necesario realizar una EIPD en los siguientes casos:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.

b) tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.

c) observación sistemática a gran escala de una zona de acceso público.

Listas de tratamientos que requieren la realización de una EIPD

Dada la indeterminación de los supuestos en los que la realización de una EIPD resulta obligatoria, el Reglamento General de Protección de Datos prevé la posibilidad de que las diferentes autoridades de control publiquen dos tipos de listas:

  • Lista de los tipos de operaciones en los que la EIPD resulta obligatoria.
  • Lista de los tipo de operaciones en los que no es necesario realizar una EIPD.

Es por este motivo que la Agencia Española de Protección de Datos publicó ayer el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto.

En dicho listado, la Agencia enumera un total de 11 criterios a tener en cuenta que, en su gran mayoría, son coincidentes por los ya publicados por el Comité Europeo de Protección de Datos y otras autoridades de control europeas. Entre dichos criterios se encuentra la realización de perfiles, la geolocalización o monitorización de forma sistemática y exhaustiva; el uso de datos biométricos o genéticos, los tratamientos a gran escala, etc.

Así, la Agencia Española de Protección de Datos concluye que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, teniendo en cuenta que a mayor número de criterios mayor es la probabilidad de que deba realizarse una EIPD sobre un determinado tratamiento.