¿En qué supuestos es necesario realizar una EIPD?

Estos supuestos se encuentran contemplados en el artículo 35 del RGPD y son los siguientes:

• Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, 
• Cuando el tratamiento implique una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
• Cuando se realice un tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10;
• Cuando el tratamiento implique la observación sistemática a gran escala de una zona de acceso público.

Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta (según el Comité Europeo de Protección de Datos, en relación con la designación de Delegados de Protección de Datos):

• a.    El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
• b.    El volumen de datos y la variedad de datos tratados
• c.    La duración o permanencia de la actividad de tratamiento
• d.    La extensión geográfica de la actividad de tratamiento

La AEPD ha realizado una Lista de tipos de tratamientos de datos que requieren una evaluación de impacto siguiendo lo señalado en el artículo 35.4 del RGPD.

La AEPD ha elaborado también una Lista orientativa de tipos de tratamientos de datos que no requieren una evaluación de impacto atendiendo a lo señalado en el artículo 35.5 del RGPD.

Con carácter general, la EIPD es preceptiva cuando es posible identificar dos o más factores de riesgo y en aquellos casos en los que el responsable tiene dudas sobre si abordar o no la EIPD, el Comité Europeo de Protección de Datos recomienda en sus directrices que se lleve a cabo la EIPD teniendo en cuenta que dicho proceso es una forma de demostrar cumplimiento.