El Reglament General de Protecció de Dades (RGPD) estableix que les organitzacions que tractin dades estan obligades a realitzar una Avaluació d’Impacte relativa a la Protecció de Dades (EIPD) abans d’efectuar aquests tractaments quan sigui probable que, en funció de la seva naturalesa, abast, context o fins, comportin un alt risc per als drets i llibertats de les persones, en el seu article 35.1.
Al maig d’aquest any, l’Agència Espanyola de Protecció de Dades (AEPD) va publicar el llistat de tractaments de dades personals en els quals era obligatòria la realització d’una avaluació d’impacte, amb l’objectiu de facilitar als responsables la identificació d’aquests tipus de tractaments que necessiten d’una EIPD, en base a l’article 35.4, havent comunicat aquest llistat al Comité Europeu de Protecció de Dades (CEPD) a fi i efecte de complir amb les exigències del RGPD. Des de Pymelegal us vam informar d’això en aquest post de maig.
Doncs ara, i en cumpliment del RGPD -art. 35.5-, l’AEPD ha publicat el llistat de tractaments que no requereixen d’avaluacions d’impacte relatives a la protecció de dades, i que també ha comunicat al CEPD. Ambdós llistats no eximeixen de complir la resta d’obligacions establertes en la normativa de protecció de dades europea.
L’Agència ha definit que no serà necessari realitzar una EIPD quan:
1. Es realitzin tractaments sota directrius contingudes en circulars o decisions emeses prèviament per les Autoritats de Control, en particular l’AEPD, sempre i quan el tractament no s’hagi modificat des de què va ser autoritzat.
2. Es realitzin complint amb codis de conducta aprovats per la Comissió Europeao les Autoritats de Control, sempre que ja s’hagués dut a terme una EIPD per a validar aquest codi de conducta i inclogués les salvaguardes definides en l’Avaluació d’Impacte.
3. Siguin tractaments necessaris per al compliment d’una obligació legal, compliment d’una missió realitzada en interés públic o en l’exercici de poders públics conferits al responsable, sempre que en el mateix mandat legal no s’obligui a realitzar una EIPD, i sempre i quan ja s’hagi realitzat una EIPD completa.
4. Es duguin a terme per treballadors autònoms que exerceixin de manera individual, en particular metges, professionals de la salut o advocats, sense perjudici de què pugui requerir-se quan aquests tractaments compleixin amb dos o més criteris establerts en la llista de tipus de tractaments de dades que requereixen EIPD.
5. Siguin tractaments obligatoris per llei i realitzats amb relació a la gestió interna del personal de les pymes amb finalitat de comptabilitat, gestió de recursos humans i nòmines, seguretat social i salut laboral, però mai relatius a les dades dels clients.
6. Siguin tractaments realitzats per comunitats de propietaris tal com es defineixen en l’article 2 (a, b i d) de la Llei 49/1960 de Propietat Horitzontal.
7. Siguin tractaments realitzats per col.legis professionals i associacions sense ànim de lucre per a la gestió de les dades personals dels seus propis associats i donants, i en l’exercici de la seva tasca, sempre que no incloguin en el tractament dades sensibles como ara les que s’estableixen en l’article 9.1 del RGPD i no sigui d’aplicació l’article 9.2 (d) d’aquest Reglament (és a dir, les dades catalogades com ‘sensibles’).