¿En qué supuestos es necesario realizar una evaluación de impacto?

Estos supuestos se encuentran contemplados en el artículo 35 del RGPD y son los siguientes:

• Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
• evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
• tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
• observación sistemática a gran escala de una zona de acceso público.

Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta (según el Grupo del Artículo 29, en relación con la designación de Delegados de Protección de Datos):

1. El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
2. El volumen de datos y la variedad de datos tratados
3. La duración o permanencia de la actividad de tratamiento
4. La extensión geográfica de la actividad de tratamiento