Volver atrás

¿Existe algún listado de operaciones de tratamiento que deben someterse obligatoriamente a una Evaluación de Impacto?

El RGPD contiene un mandato al respecto, dirigido a las autoridades de control, consistente en que publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos, de conformidad con el apartado 1 del artículo 35.

Además, la autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. Ambas listas serán comunicadas al Comité Europeo de Protección de Datos.

En este sentido, el listado de tipos de tratamientos de datos que requieren evaluación de impacto elaborado por la AEPD se puede consultar en el siguiente enlace:
https://www.aepd.es/documento/listas-dpia-es-35-4.pdf

En todo caso, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo y, en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

Como se ha dicho, el RGPD se basa en un principio de responsabilidad activa del responsable y es siempre en último extremo el responsable el que debe decidir qué medidas aplicar y cómo hacerlo. La intervención de las autoridades de supervisión o las previsiones del propio RGPD aclaran sus disposiciones o las especifican, pero no sustituyen la responsabilidad de quienes tratan los datos.

Déjanos tu valoración

Si tiene más preguntas o dudas, no dude en enviarnos sus consultas