Servicios

Exigencia de evaluación de impacto

El artículo 35 del RGPD dicta los supuestos de exigencia de realización de una Evaluación de impacte.

Según el artículo 35 del RGPD se va a exigir la realización de una evaluación de impacto en los siguientes supuestos:

a. Cuando un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a:

· si se emplean nuevas tecnologías.

· por su naturaleza, alcance, contexto o fines.

b. Por ejemplo, hay finalidades de tratamiento que suponen una invasión notable de la privacidad, como señala la AEPD en la Guía para una evaluación de impacto, como la monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo, la verificación de la idoneidad para determinadas tareas, la evaluación de la personalidad o de la situación financiera, laboral, social, familiar, formación, gustos o aficiones y las que impliquen el tratamiento de datos especialmente protegidos.

c. Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como, por ejemplo, la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

d. Cuando se realice un tratamiento a gran escala de las categorías especiales de datos (contemplados en el artículo 9, apartado 1 del RGPD), o de los datos personales relativos a condenas e infracciones penales (a que se refiere el artículo 10 del RGPD). Hay que recordar que las categorías especiales de datos personales son las que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o vida sexual u orientación sexual.

e. En supuestos de observación sistemática a gran escala de una zona de acceso público, como, por ejemplo, según el Considerando 91 RGPD, cuando se utilicen dispositivos optoelectrónicos. Esta clase de dispositivos permiten convertir señales ópticas en señales electrónicas, o viceversa. Sus aplicaciones son muy extensas y variadas, pero fundamentalmente se aplican en circuitos de comunicaciones, sistemas de señalización, y productos de consumo masivo, entre otros.

De cualquier modo, los apartados 4.º y 5.º del artículo 35, determinan que la Autoridad de Control, la AEPD, debe publicar una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto y otra para los que no se necesita.

El grupo del artículo 29 publicó un documento donde se introducen hasta 9 criterios que podrían evidenciar potencialmente un elevado riesgo inherente de las operaciones de tratamiento y que, por tanto, indicarían la obligación de llevar a cabo la EIPD, incluso se incluyen algunos ejemplos de tratamientos que en aplicación de esos criterios, vendrían a requerir, o no, realizar la EIPD.