"El tratamiento de datos es el petróleo del siglo XXI" Thomas Zerdick.

Noticias

La AEPD publica una lista de tipos de tratamiento que requieren una evaluación de impacto

La Agencia Española de Protección de Datos ha publicado recientemente una «Lista orientativa de tipos de tratamiento que requieren una evaluación de impacto relativa a la protección de datos», y que está disponible en la propia página de Internet de la citada autoridad de control.

Así mismo, dicha lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

Ello responde a la obligación establecida en el artículo 35, apartado 4, del Reglamento (UE) 2016/679 (RGPD), según la cual las autoridades de control deben establecer y publicar una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.

En lo tocante al particular, interesa realizar las siguientes precisiones iniciales tras una primera lectura de la citada publicación, siempre salvo mejor criterio o interpretación en Derecho:

  • En primer lugar, la lista publicada por la Agencia Española de Protección de Datos tiene un carácter «orientativo», y por ende no parece tratarse de un listado rígido, taxativo o exhaustivo, debiendo tomarse en consideración las directrices del Grupo de Trabajo del Artículo 29 (actual Comité Europeo de Protección de Datos) para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD.
  • En segundo lugar, para que sea necesaria la realización de una evaluación de impacto han de concurrir dos o más criterios de la lista publicada por la Agencia Española de Protección de Datos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una evaluación de impacto.
  • Finalmente, lo previsible es que la citada autoridad de control también establezca y publique una lista orientativa de tipos de tratamiento que no requieran una evaluación de impacto relativa a la protección de datos, pues así lo establece el artículo 35.5 del RGPD.

En suma, la Agencia Española de Protección de Datos introduce nuevos criterios orientativos de valoración técnico-jurídica en relación con la necesidad de la realización de la evaluación de impacto relativa a la protección de datos, que habrán de ser sopesados en cada caso concreto que pudiera verse afectado por esta circunstancia.

Suscripción blog

Suscríbase a nuestra lista para no perderse ninguna entrada

Certificaciones