El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas, en su artículo 35.1.
En mayo de este año, la Agencia Española de Protección de Datos (AEPD) publicó el listado de tratamientos de datos personales en los que era obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos que necesitan de una EIPD, en base al artículo 35.4, habiendo comunicado este listado al Comité Europeo de Protección de Datos (CEPD) a fin de cumplir con las exigencias del RGPD. Desde Pymelegal os informamos de ello en este post de mayo.
Pues ahora, y en cumplimiento del RGPD -art. 35.5-, la AEPD ha publicado el listado de tratamientos que no requieren de evaluaciones de impacto relativas a la protección de datos, y que también ha comunicado al CEPD. Ambos listados no eximen de cumplir el resto de obligaciones establecidas en la normativa de protección de datos europea.
La Agencia ha definido que no será necesario realizar una EIPD cuando:
1. se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
2. se realicen cumpliendo con códigos de conducta aprobados por la Comisión Europeao las Autoridades de Control, siempre que ya se hubiera llevado a cabo una EIPD para validar dicho código de conducta e incluyera las salvaguardas definidas en la Evaluación de Impacto.
3. sean tratamientos necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
4. se lleven a cabo por trabajadores autónomos que ejerzan de manera individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando dichos tratamientos cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren EIPD.
5. sean tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las pymes con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
6. sean tratamientos realizados por comunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
7. sean tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento (es decir, los datos catalogados como ‘sensibles’).
