¿Existe algún listado de operaciones de tratamiento que deben someterse obligatoriamente a una EIPD?

El RGPD contiene un mandato al respecto, dirigido a las autoridades de control, consistente en que publicarán una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos, de conformidad con el apartado 1 del artículo 35.

Además, la autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. Ambas listas serán comunicadas al Comité Europeo de Protección de Datos.

En este sentido, el listado de tipos de tratamientos de datos que requieren evaluación de impacto elaborado por la AEPD se puede consultar en el siguiente enlace: Listas de tipos de tratamientos de datos que requieren EIPD (art 35.4)

No se trata de un listado exhaustivo y excluye a los responsables de realizar el correspondiente análisis de riesgo y, en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, llevar a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.

Como se ha dicho, el RGPD se basa en un principio de responsabilidad activa del responsable y siempre y en último extremo es el responsable, quien debe decidir qué medidas aplicar y cómo hacerlo. Las recomendaciones de las autoridades de supervisión o del Comité Europeo de Protección de Datos no sustituyen la responsabilidad de quienes tratan los datos.