GDPR: éstos son los casos en los que no hay que hacer una evaluación de impacto

La normativa europea de protección de datos (GDPR, en su acrónimo inglés) recoge en su artículo 35.1 que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando puedan en entrañar (por su naturaleza, alcance, contexto o fines) un alto riesgo para los derechos y libertades de las personas.

La Agencia, en esta lista orientativa, excluye de la necesidad de hacer esta evaluación siete supuestos.

Por ejemplo, según el documento, no será necesario realizar la evaluación de impacto cuando se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las autoridades de control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

Tampoco se requiere si el tratamiento se realiza cumpliendo con códigos de conducta aprobados por la Comisión Europea o las autoridades de control nacionales, siempre que ya se hubiera llevado a cabo una evaluación para validar dicho código de conducta e incluyera las salvaguardas definidas en este tipo de procedimientos.

También se encuentran en la lista los tratamientos que lleven a cabo los trabajadores autónomos que ejerzan de manera individual, en particular médicos, profesionales de la salud o abogados. No obstante, puede ser necesaria cuando dichos tratamientos cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren una evaluación, además de en los casos obligatorios por ley y en los tratamientos relacionados con la gestión interna del personal de las pymes con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral. Nunca en los tratamientos relativos a los datos de los clientes.

La lista completa se encuentra en este enlace.