¿Tratas datos personales? ¿Se encuentran tus actividades de tratamiento sujetas a la supervisión de la AEPD? Ya puedes consultar la lista de la AEPD de tratamientos en que es obligatorio hacer una EIPD.

Lista de la AEPD de tratamientos en que es obligatorio hacer una EIPD

Respondiendo a la obligación del artículo 35.4 del RGPD, la AEPD publicó el pasado 6 de mayo de 2019 las “Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos”.

Se trata de un listado de carácter orientativo y no exhaustivo que establece una serie de criterios y, según indica la AEPD, “será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista”, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo 35.5 del RGPD, que todavía no ha sido publicada.

Los 11 criterios de la AEPD para determinar en qué tratamientos es obligatorio hacer una EIPD

Para evaluar si un tratamiento requiere realizar una EIPD, la AEPD establece que deberán concurrir al menos dos de los siguientes criterios:

Criterio Descripción
Perfilado o valoración Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
Toma de decisiones automatizadas Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
Observación o control sistemático y exhaustivo Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
Datos sensibles Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
Datos biométricos Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
Datos genéticos Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
Uso de datos a gran escala Tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
Asociación, combinación o enlace de conjuntos de datos Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
Datos de interesados vulnerables Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
Uso de nuevas tecnologías o uso innovador de tecnologías consolidadas Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
Se impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contrato Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

La lista de la AEPD de tratamientos en que es obligatorio hacer una EIPD se basa en los criterios establecidos por el Grupo de Trabajo del Artículo 29 en la guía WP248rev01 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD” y los complementa.

El listado publicado por la AEPD es muy similar al del GT29, pero sí presenta algunas diferencias, siendo de destacar que mientras el listado del GT29 contiene 9 criterios, el de la AEPD desarrolla 11.

Ello se debe a la división del criterio de los “datos sensibles” que ha hecho la AEPD, desarrollando en su lugar 3 categorías:

  1. Datos sensibles, que incluye las categorías especiales de datos, los datos relativos a condenas e infracciones penales y los datos que revelen la situación financiera o de solvencia patrimonial o deducir información relacionada con categorías especiales de datos;
  2. Datos biométricos.
  3. Datos genéticos.

En consecuencia, un tratamiento que utilice más de dos categorías especiales de datos del artículo 9.1 del RGPD requerirá una evaluación de impacto siempre que al menos una de esas categorías sean datos biométricos o datos genéticos.

Para evaluar si un tratamiento requiere realizar una EIPD, la AEPD establece que deberán concurrir al menos dos de los siguientes criterios:

  1. Perfilado o valoración: tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  2. Toma de decisiones automatizadas: tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Observación o control sistemático y exhaustivo: tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Datos sensibles: tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Datos biométricos: tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Datos genéticos: tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Uso de datos a gran escala: tratamientos que impliquen el uso de datos a gran escala. Para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía WP243 “Directrices sobre los delegados de protección de datos (DPD)” del Grupo de Trabajo del Artículo 29.
  8. Asociación, combinación o enlace de conjuntos de datos: tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Datos de interesados vulnerables: tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Uso de nuevas tecnologías o uso innovador de tecnologías consolidadas: tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Se impida a los interesados ejercer un derecho, utilizar un servicio o ejecutar un contrato: tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del RGPD.

La lista de la AEPD de tratamientos en que es obligatorio hacer una EIPD se basa en los criterios establecidos por el Grupo de Trabajo del Artículo 29 en la guía WP248rev01 “Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del RGPD” y los complementa.

El listado publicado por la AEPD es muy similar al del GT29, pero sí presenta algunas diferencias, siendo de destacar que mientras el listado del GT29 contiene 9 criterios, el de la AEPD desarrolla 11.

Ello se debe a la división del criterio de los “datos sensibles” que ha hecho la AEPD, desarrollando en su lugar 3 categorías:

  1. Datos sensibles, que incluye las categorías especiales de datos, los datos relativos a condenas e infracciones penales y los datos que revelen la situación financiera o de solvencia patrimonial o deducir información relacionada con categorías especiales de datos;
  2. Datos biométricos.
  3. Datos genéticos.

En consecuencia, un tratamiento que utilice datos biométricos o datos genéticos por si solo no hará necesario la realización de una EIPD. No obstante, sí será obligatorio hacer una EIPD cuando, además de utilizar datos biométricos o datos genéticos, concurra otro de los criterios de la lista de la AEPD, que es precisamente lo que el CEPD ha exigido a la AEPD modificar de la lista en la Opinion 6/2019.

Otros casos en que es obligatorio hacer una EIPD

Además de en esos casos en que concurren 2 o más criterios del listado de tratamientos que requieren una evaluación de impacto de la AEPD, también deberás llevar a cabo una evaluación de impacto cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas o cuando sea uno de los tratamientos del artículo 35.3 del RGPD.

Tratamientos del artículo 35.3 del RGPD

El artículo 35.3 establece que será obligatorio hacer una EIPD en caso de:

  1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. tratamiento a gran escala de las categorías especiales de datos (datos sensibles) o de los datos personales relativos a condenas e infracciones penales, o
  3. observación sistemática a gran escala de una zona de acceso público.

Tratamientos que entrañan un alto riesgo para los derechos y libertades

El artículo 35.1 establece que será obligatorio hacer una EIPD cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Para evaluar si un tratamiento entraña o no un alto riesgo para los derechos y libertades de las personas físicas, deberás tener en cuenta tanto los criterios establecidos por el listado de la AEPD de tratamientos en que es obligatorio hacer una EIPD, como los criterios que estableció el GT29 en las Directrices sobre la evaluación de impacto relativa a la protección de datos (wp248rev01), explicados aquí.

Evaluación de impacto de protección de datos del RGPD. Cuando es obligatorio hacerla, cómo debe hacerse, ejemplos, modelos y plantillas

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo