La AEPD publica el listado de tratamientos en los que es obligatoria una evaluación de impacto

La Agencia Española de Protección de Datos (en adelante, AEPD) publicó, el 6-5-2019, el listado de tratamientos de datos personales en los que es obligatorio realizar una evaluación de impacto.

Con esta publicación, la AEPD cumple con el artículo 35.4 del Reglamento UE 2016/679, sobre la protección de datos personales (en adelante, RGPD). El artículo 35.1 del RGPD determina la necesidad de esa evaluación cuando el tratamiento, en particular si utiliza nuevas tecnologías, entraña alto riesgo para los derechos y libertades de las personas físicas.

La AEPD establece que será necesaria una evaluación de impacto de protección de datos cuando el tratamiento cumpla con dos o más criterios de la lista expuesta a continuación:

1. Tratamientos que impliquen perfilado o valoración de sujetos que cubran aspectos de su personalidad y hábitos.
2. Tratamientos que impliquen la toma de decisiones automatizadas que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan identificar a usuarios de servicios de la sociedad de la información, como los servicios web, TV interactiva, aplicaciones móviles, etc.
4. Tratamientos que impliquen el uso de categorías especiales de datos (sensibles o relativos a condenas o infracciones penales) o datos para determinar la situación financiera o de solvencia patrimonial.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7. Tratamientos que impliquen el uso de datos a gran escala.
8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social (por ejemplo: datos de menores de 14 años, discapacitados, víctimas de violencia de género etc.).
10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato (por ejemplo, tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5.b), -c) y -d) del RGPD).

En cualquier caso, no será necesaria la evaluación cuando el tratamiento se encuentre en la lista de los que no la requieren, como prevé el artículo 35.5 del RGPD (listado de los tratamientos excluidos que puede llegar a publicar la AEPD).