Definidos los casos que no requieren una evaluación de impacto en la protección de datos

La Agencia Española de Protección de Datos (AEPD) ha publicado un listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto. Por ejemplo, la AEPD ha establecido que no será necesario realizar una evaluación cuando se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las Autoridades de Control (en particular la AEPD) siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

También ha fijado que no se requerirá una evaluación de impacto si el tratamiento se realiza cumpliendo con códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, siempre que ya se hubiera llevado a cabo una evaluación para validar dicho código de conducta.

Dentro de los tratamientos que forman parte del listado también se encuentran, entre otros, aquellos que lleven a cabo los trabajadores autónomos que ejerzan de manera individual; en particular, médicos, profesionales de la salud o abogados.

El RGPD, en su artículo 35.1, recoge que las organizaciones que traten datos están obligadas a realizar una evaluación de impacto relativa a la protección de datos antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas. Por otra parte, el apartado 5 del mismo artículo establece que las autoridades de control podrán publicar listas de los tipos de tratamiento que no requieren una evaluación de impacto. Y eso es lo que acaba de hacer la AEPD con el objetivo de facilitar sus funciones a los responsables del tratamiento de los datos de las organizaciones.

Con anterioridad, la AEPD había publicado otra lista con aquellos tratamientos en los que sí es obligatorio llevar a cabo una evaluación de impacto.