Publicado el listado de tratamientos en los que es obligatorio realizar una evaluación de impacto

  • Normativa

Según el Reglamento General de Protección de Datos de la UE, las organizaciones que tratan datos están obligadas a realizar una evaluación de impacto cuando sea probable que ese tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. La AEPD acaba de publicar un listado de aquellos en los que es obligatoria realizar ese análisis.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

La Agencia Española de Protección de Datos ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto, deber que queda reflejado en el artículo 35.1 del Reglamento General de Protección de Datos (GDPR, en sus siglas inglesas). Ésta debe realizarse con anterioridad a la puesta en funcionamiento de dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

El apartado 4 de ese artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto. Ésta tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo.

También de acuerdo con lo previsto por GDPR, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

EncuestaIT
Encuesta IT Trends ¡Participa!

¿Cómo tratan en tu empresa los datos? ¿Cómo se crean las aplicaciones? Ayúdanos a conocer la realidad de los datos y las aplicaciones en tu organización. ¡Gracias!

La AEPD ha definido que será necesario realizar la evolución en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una Evaluación de impacto.

La Agencia presentó con anterioridad a la aplicación de GDPR diversas guías y herramientas, entre ellas una guía de evaluación de impacto que se puede consultar en este enlace.

TAGS Normativa, GDPR, Protección de datos

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO