El artículo 35 del Reglamento General de Protección de Datos (RGPD) introduce la figura de la evaluación de impacto en materia de protección de datos (EIPD), que deberá llevarse a cabo antes de iniciar un tratamiento de datos por el que exista un potencial riesgo alto de menoscabar los derechos y libertades de las personas físicas.
El propio artículo 35.2 RGPD indica los criterios a seguir para determinar si debe llevarse a cabo o no la EIPD. Concretamente, deberá hacerse si:
Asimismo, en su apartado 4, el artículo 35 RGPD establece que la autoridad de control establecerá y publicará una lista de los tipos de operaciones que obligarán a los responsables del tratamiento a llevar a cabo una EIPD. Es en cumplimiento de este artículo que la Agencia Española de Protección de Datos (AEPD) ha publicado la Lista de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos.
Este listado, que no es exhaustivo, comprende 11 supuestos. En el caso de darse dos o más de estos supuestos, el responsable estará obligado a realizar una EIPD. Concretamente, se trata de los siguientes:
Antes de realizar la EIPD, el responsable deberá analizar los riegos que entrañan los tratamientos que lleva a cabo en el marco de su actividad. Para facilitar esta tarea, la AEPD publicó una Guía sobre el análisis del riesgo. En caso de que el análisis determine que el riesgo para los derechos y libertades es alto, el responsable deberá evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo, pudiendo basarse en la Guía práctica de la AEPD a tal efecto.
Esther Ballesteros Graduada
Sergi Gálvez Asociado