La Agencia Española de Protección de Datos (AEPD) acaba de publicar el listado de tratamientos de datos personales en los que no es necesario la realización de una evaluación de impacto relativa a la Protección de Datos.
El pasado 28 de mayo de 2018 entró en vigor, después de dos años desde su aprobación, el Reglamento General de Protección de Datos, conocida como RGPD por sus siglas en español o GDPR si nos ceñimos al inglés (General Data Protection Regulation). Este reglamento fue recogido en nuestra legislación a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, Este Reglamento recoge en su artículo 35.1 que los responsables de las organizaciones estarán obligados una Evaluación de Impacto relativa a la Protección de Datos cuando éstas traten datos de carácter personal.
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, extrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen riesgos similares (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2015. Art. 35.1).
Para aclarar este punto, la AEPD ha determinado que no será necesaria la Evaluación de Impacto de Protección de datos cuando se realicen tratamientos bajo las directrices de las circulares o decisiones emitidas previamente por las Autoridades de Control. Tampoco cuando este tratamiento se realice en cumplimiento con los códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control. Se incluye igualmente en esta excepción a trabajadores autónomos que ejerzan de manera individual, de manera particular médicos, profesionales de la salud o abogados, siempre y cuando no se den dos o más criterios de los establecidos en la lista de tipos de tratamientos de datos que requiere evaluación de impacto relativa a la protección de datos.
Podemos conocer todas las casuísticas que permiten no realizar esta evaluación en el informe publicados por la AEPD. Si visitas su web además podrá consultar los criterios que hacen obligatoria la realización de esta acción así como todos los documentos relativos a la directiva europea y su transposición a la normativa española.