evaluacion

This post is also available in: enEnglish

El artículo 35.1 del Reglamento General de Protección de Datos (“RGPD”) exige a los responsables que tratan datos la realización de una Evaluación de Impacto relativa a la Protección de Datos (“EIPD”) previa a todo tratamiento que sea susceptible de entrañar un riesgo para los derechos y libertades de las personas físicas, dando la posibilidad a las agencias de protección de datos nacionales a publicar una lista con aquellos tratamientos específicos que no requieran la realización de EIPD.

Tras haber publicado el pasado mes de mayo la Agencia Española de Protección de Datos (“AEPD”) un listado -no exhaustivo- de tratamientos de datos personales en los que sí que resultaba obligatoria la realización de EIPD, la AEPD acaba de publicar una nota que contiene una lista –de nuevo, no exhaustiva- de aquellos tratamientos en los que la realización de EIPD no resulta preceptiva.

La AEPD incluye en su lista una serie de  7 supuestos que, a priori y en tanto en cuanto se cumplan determinadas condiciones, se hallarían exentos de realizar una EIPD. Entre ellos, destacan los siguientes:

  • Tratamientos realizados, en el marco de su profesión, por trabajadores autónomos que ejerzan su profesión de forma individual (e.g. médicos, abogados), ello sin perjuicio de que se pueda requerir su realización cuando se vuelva necesario.
  • Tratamientos llevados a cabo por comunidades y subcomunidades de propietarios;
  • Tratamientos obligatorios por ley en relación con la gestión del personal de las PYMES, pero nunca relativos a clientes; y
  • Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión –en el estricto ejercicio de su labor- de los datos personales (no sensibles) de sus asociados y donantes.

El resto de tratamientos exceptuados de EIPD puede consultarse aquí.

En cualquier caso, la AEPD reitera que toda abstención de realizar una EIPD debe estar suficientemente fundamentada, y pone el acento sobre la necesidad de cumplir con el resto de obligaciones exigidas por la normativa de protección de datos aplicable.

Autores: Ana Sánchez y Jorge Monclús

This post is also available in: enEnglish

Autores:

Asociado Senior

30 artículos

Jorge Monclús

jorge.monclus@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *