El 25 de Mayo de 2018 se hace efectiva una de las novedades del Reglamento Europeo de Protección de Datos, (RGPD), la obligación a realizar Evaluaciones de Impacto en Protección de Datos (EIPD) en algunos casos y supuestos concretos.
Dichas evaluaciones de impacto serán obligatorias en los casos en que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas. Se habrán de evaluar el origen, la naturaleza, las particularidades de los tratamientos, su necesidad y proporcionalidad, así como los riesgos y amenazas que comporten, y su probabilidad de impacto. La intención es eliminar dichos riesgos antes de que estos se materialicen.
Los supuestos recogidos en el artículo 35.2 del RGPD en los que el responsable del tratamiento de datos se encuentra en la obligación de realizar una EIPD son:
Tal y como podemos comprobar, dichos supuestos no son lo detallados y exhaustivos que nos gustaría por lo que la Agencia Española de Protección de Datos establece que será necesario realizar una EIPD en la mayoría de los casos en los que un tratamiento cumpla con 2 o más criterios de los que indicamos a continuación, salvo los exceptuados por el RGPD:
Cuantos más criterios reúna, mayor es el riesgo potencial, y mayor es la necesidad de hacer una EIPD. Este listado publicado por la AEPD no es definitivo, ni está cerrado, puede que existan o se den supuestos en los que sea necesaria una EIPD y que aún no estén recogidos.