Elaborar una evaluación de impacto relativa a la protección de datos

Cuando un tratamiento, por su naturaleza, alcance, contexto o finalidades, suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, la entidad responsable del tratamiento debe realizar antes una evaluación del impacto en la protección de datos (AIPD).

El RGPD establece que, entre otros supuestos, es necesario realizar una evaluación de impacto relativa a la protección de datos en los siguientes:

• Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en un tratamiento automatizado, como la elaboración de perfiles, sobre cuya base se toman decisiones que producen efectos jurídicos para las personas físicas o que les afectan significativamente de forma similar. 
• Tratamiento a gran escala de las categorías especiales de datos o datos personales relativos a condenas e infracciones penales. 
• Observación sistemática a gran escala de una zona de acceso público. 

Para determinar qué debe entenderse por “gran escala”, se puede tener en cuenta lo que determina el Grupo del artículo 29, en las Directrices sobre la designación de delegados de protección de datos. Así, considera que para valorar si el tratamiento se realiza a gran escala se debe tener en cuenta lo siguiente:

• El número de personas afectadas, ya sea en términos absolutos o como proporción de determinada población.

• El volumen y variedad de datos tratados.

• La duración o permanencia de la actividad de tratamiento.

• La extensión geográfica de la actividad de tratamiento.

El RGPD prevé que las autoridades de control deben publicar una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos. La APDCAT considera que es necesario realizar una evaluación del impacto relativa a la protección de datos en los tratamientos incluidos en la siguiente lista. Esta lista no es exhaustiva y se irá actualizando. Si una operación de tratamiento no figura en ella, no significa que no se requiera realizar la AIPD. Es necesario verificar siempre que el tratamiento no supone un alto riesgo para los derechos y libertades de las personas, especialmente si se utilizan nuevas tecnologías.

Estos criterios son de aplicación no solo a las entidades responsables que deseen llevar a cabo alguno de los tratamientos incluidos, sino también a los órganos e instituciones que elaboren un proyecto de disposición normativa que comporte alguno de estos tratamientos. En este caso, si el proyecto normativo se ha sometido a una evaluación de impacto relativa a la protección de datos, no será necesario que las entidades responsables del tratamiento lo elaboren después.