España ya cuenta con dos listas: tratamientos de datos que deben someterse a una Evaluación de Impacto y los que no.

AUTOR: Isabel García

FECHA: 19.09.2019

El RGPD establece en el apartado 4 de su artículo 35 la obligación para las autoridades de control de cada Estado miembro de publicar una lista de tratamientos de datos que, obligatoriamente, requerirán una EIPD. Por su parte, el apartado 5 del mismo artículo permite a las autoridades de control, de forma facultativa, elaborar y publicar asimismo una lista de tratamientos que no requieren una EIPD.

Como ya anunciamos en el resumen anual publicado con ocasión del aniversario del RGPD, la Agencia Española de Protección de Datos (AEPD) finalmente publicó la lista definitiva de tratamientos de datos personales que requieren la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD), la cual puede ser consultada en: https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf

Esta Lista incluye once (11) operaciones de tratamiento diferentes y sigue los criterios ya esbozados por el antiguo Grupo de Trabajo del Artículo 29 (ahora, el “Comité Europeo de Protección de Datos”) en las “Directrices (WP248) sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679”.

La AEPD deja claro que constituye una lista no exhaustiva y que cuando una operación de tratamiento cumple dos o más de los criterios establecidos en la lista, lo más probable es que deba someterse a una EIPD, “salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo 35.5 del RGPD”. 

Con dicha afirmación, podía ya deducirse que la AEPD tenía previsto trabajar asimismo en una lista de este tipo y así hacer uso de esta posibilidad que brindaba el RGPD.

Finalmente, este mismo mes de septiembre, la AEPD ha publicado el mencionado listado de tratamientos de datos personales que no requieren la realización previa de una EIPD (vid. https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf).

Muy acertadamente explica la AEPD en dicho documento que “La EIPD es un proceso costoso y es necesario aplicar un principio de economía de medios. Por lo tanto, un primer análisis cualitativo puede concluir que no es necesario realizar dicha EIPD. En ese caso, dicha decisión ha de estar suficientemente fundamentada”.

Igualmente destaca que la lista establece únicamente los tratamientos que están exentos de realizar una EIPD, pero que en ningún caso se trata de una lista de exención de las obligaciones que establece la normativa sobre protección de datos.

  • Este listado consta de siete (7) tratamientos que no requerirán la realización de una EIPD, entre los que se pueden destacar:
    aquellos que lleven a cabo trabajadores autónomos que ejerzan de forma individual, tales como médicos, profesionales de la salud o abogados, con la salvedad de que, si el tratamiento cumple de forma significativa con dos o más criterios de la lista de tratamientos que requieren una EIPD, es posible que ésta pueda requerirse; o
  • los tratamientos que sean obligatorios por ley y que se lleven a cabo en relación con la gestión interna del personal de PYMES, con las finalidades de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral; pero en ningún caso los que impliquen datos de los clientes.