La AEPD ha publicado la Black List y la White List donde se recogen los tratamientos que requieren o están exentos de realizar una evaluación de impacto, respectivamente. Te explicamos todos los casos a continuación.
¿Cuándo es necesario realizar una Evaluación de Impacto?
Si bien ya existía la obligación de realizar una PIA en caso de tratamientos que entrañen un riesgo elevado, es el propio artículo 35 del RGPD, en sus apartados 4 y 5, el que establece que este clase de “listas” deberán clarificar los supuestos en los que efectivamente tendrá que llevarse a cabo una evaluación de impacto.
Así pues, será necesario realizar una EIPD en los casos en los que dicho tratamiento cumpla con dos o más criterios de la Black List que disponemos a continuación:
- Tratamientos que impliquen la elaboración de perfiles donde se cubran aspectos de la personalidad o hábitos del sujeto.
- Cuando se trate de toma de decisiones automatizadas.
- Tratamientos que impliquen la observación, geolocalización o control del interesado de forma sistemática y exhaustiva.
- En el caso de tratamientos que impliquen el uso de categorías especiales o de datos relativos a condenas o infracciones penales.
- Tratamientos que impliquen el uso de datos biométricos.
- Tratamientos de datos genéticos.
- Tratamientos de datos a gran escala.
- Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
- Tratamientos de datos de individuos vulnerables o en riesgo de exclusión social, menores o con discapacidad.
- Uso de nuevas tecnologías o uso innovador de tecnologías consolidadas de forma que supongan nuevas formas de recogidas y utilización de datos.
- Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato.
Los tratamientos que no requieran una EIPD (artículo 35.5 RGPD) y que, por tanto, conforman la White List son los siguientes:
- Tratamientos que se realizan bajo las directrices autorizadas con anterioridad por la autoridad competente, como puede ser la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
- Tratamientos que se realizan bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, , siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta.
- Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
- Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular profesionales de la salud, médicos o abogados, siempre que no cumplan con dos o más criterios establecidos de la Black List.
- Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES siempre que no sean relativos a clientes.
- Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en la Ley de Propiedad Horizontal.
- Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes.
No queremos dejar de señalar que en el caso que en un primer análisis cualitativo se concluya que no es necesario realizar la EIPD, la decisión deberá quedar suficientemente fundamentada