¿Quién NO tiene la obligación de realizar una Evaluación de Impacto en Protección de Datos?

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer un listado en los que establece los tratamientos de datos personales que están exentos de la obligación de realizar la Evaluación de Impacto en Protección de Datos (EIPD) que establece la norma europea.

En el Reglamento Europeo de Protección de Datos (RGPD) en vigor desde mayo de 2018, se recoge, mediante el artículo 35.1 del mismo, la obligación de realizar una EIPD para las organizaciones que traten datos que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

Esta Evaluación debe realizarse con anterioridad al tratamiento, con el fin de establecer los riesgos y tomar las medidas necesarias de seguridad para evitar estos riesgos. En el Reglamento también se establece que las autoridades de control de cada estado miembro serán las encargadas de elaborar la lista de los tipos de tratamiento que no requieren una evaluación de impacto.

En este sentido, la AEPD, responsable de la Protección de Datos en España, ha hecho pública esta lista orientativa, con el objetivo de ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar esta Evaluación.

La Agencia aclara que esta lista solo exime de cumplir con la obligación de realizar la Evaluación de Impacto, pero no del resto de obligaciones que establece el Reglamento Europeo.

Tratamientos con obligación de EIPD

Con anterioridad a la publicación de la lista de tratamientos exentos de la Evaluación, la Agencia publicó una lista con los tratamientos que Sí están obligados. Esta lista está disponible en este enlace de la web de la Agencia.

Tratamientos exentos de realizar una EIPD

A continuación citamos los siete puntos que establece la lista de No obligados a Evaluaciones de Impacto, publicada por la Agencia.

1.Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

Desde Cumple Protección de Datos os podemos ayudar a cumplir con las obligaciones que establece el Reglamento Europeo. Pídenos un presupuesto sin compromiso.

Esta entrada fue publicada en Protección de Datos y etiquetada , , , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *