El CEPD publica su dictamen sobre la lista de tratamientos que precisan evaluación de impacto enviada por la AEPD

El Comité Europeo de Protección de Datos (CEPD) adoptó, el 12-3-2019, con ocasión de su octava sesión plenaria y en aplicación del artículo 35.4 del Reglamento General de Protección de Datos (RGPD), el dictamen 6/2019 que recoge la lista enviada por la Agencia Española de Protección de Datos (AEPD) sobre los tratamientos que considera de alto riesgo para los derechos y libertades de las personas, y que, por consiguiente, requieren una evaluación de impacto.

El objetivo de este dictamen no es adoptar una única lista de aplicación idéntica en toda la UE, sino más bien evitar incoherencias significativas que afecten a un nivel armonizado de protección equivalente de los interesados en el UE.

En su dictamen, el CEPD ha llamado la atención de la AEPD respecto a dos tipos de tratamientos: el tratamiento de datos biométricos y el tratamiento de datos genéticos:

1. Sobre el tratamiento de datos biométricos, el comité expone que, si solo tiene el propósito de identificar de manera única a una persona física, no representa necesariamente un alto riesgo y, por lo tanto, no va a necesitar en todos los casos una evaluación de impacto. Por eso invita a la AEPD a que considere necesaria la evaluación en este tratamiento cuando además se dé otro criterio de los de su lista, sin menoscabo de los que indica el artículo 35.3 del RGPD. Recuérdese que esos criterios son:
   1. evaluación sistemática y exhaustiva de aspectos personales (como la elaboración de perfiles) sobre cuya base se tomen decisiones jurídicas o que afecten significativamente a las personas;
   2. tratamiento a gran escala de las categorías especiales de datos;
   3. observación sistemática a gran escala de una zona de acceso público.
2. En cuanto al tratamiento de datos genéticos, el CEPD, como en el caso anterior,  considera que, por sí solo, tampoco requiere la evaluación de impacto. Pero sí se deberá realizar cuando se traten datos genéticos y además haya otro motivo más de su lista, sin perjuicio de lo dispuesto en el citado artículo 35.3 del RGPD.

De conformidad con el artículo 64, apartados 7 y 8, del RGPD, la AEPD dispone ahora de un plazo de dos semanas desde la recepción del dictamen, para comunicar al presidente del CEPD si va a mantener o modificar su proyecto de lista.

En los documentos vinculados a esta alerta, puede consultar el contenido completo del dictamen.