¿Cuándo es necesario realizar una evaluación de impacto de datos personales? Revisa las listas positivas y negativas aprobadas

El Reglamento en materia de protección de datos personales (RGPD) establece en su Artículo 35 las condiciones, requisitos y contenido de las evaluaciones de impacto (EIPD) para aquellos tratamientos de datos personales que entrañen un alto riesgo para los derechos y libertades de las personas físicas.

Como explicamos en nuestro artículo La evaluación de impacto en la privacidad como nueva responsabilidad en el RGPD, la elaboración de estas evaluaciones de impacto, son una nueva obligación para el responsable de los datos personales, que debe valorar la particular gravedad y probabilidad de alto riesgo de su tratamiento.

La nueva normativa en materia de protección de datos pone como ejemplo:

  •  los tratamientos que utilicen nuevas tecnologías,
  • las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales o
  • aquéllos  que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

Revisa las listas positivas y negativas aprobadas por el Supervisor Europeo de Protección de Datos personales y por la autoridad de control nacional competente.

En sus apartados 4 y 5, el Artículo 35 también establece que las autoridades de control competentes establecerán y publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos (listas positivas) y podrá asimismo establecer y publicar otra lista de los tipos de tratamiento que no requieren esta evaluación (listas negativas).

Recientemente el Supervisor Europeo de Protección de Datos personales ha hecho públicas las listas positiva y negativa de tratamientos que a priori, puede considerase que necesitan o no de la elaboración de una evaluación de impacto.

En España, la Agencia Española de Protección de Datos ha hecho lo mismo publicando una serie de orientaciones para ayudarnos a entender cuándo los tratamientos de datos personales pueden requerir una evaluación de impacto.

Ten en cuentas que las listas positivas y negativas de EIPD son orientativas y no exhaustivas. Pretenden poner ejemplos prácticos de cuándo proceder a realizar una evaluación de impacto. 

Más información:

Listas positiva y negativa del Supervisor Europeo de protección de datos personales en las que a priori será necesario proceder a una evaluación de impacto.

Lista positiva de la Agencia Española de Protección de Datos Personales de tipos de tratamientos de datos que requieren una evaluación de impacto relativa a la protección de datos

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: