Antes de ver qué tratamientos de datos personales van a necesitar realizar una EVALUACIÓN DE IMPACTO, recordaremos, gracias a otros post publicados anteriormente ¿Qué es una evaluación de impacto y cómo se lleva a cabo?

 

Hacemos un histórico, según el artículo 35 del RGPD sólo era necesario elaborar una EIPD en los tres siguientes casos:

 

Evaluación sistemática y exhaustiva de aspectos personales de personas físicas (elaboración de perfiles).

 

Tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales.

Observación sistemática a gran escala de una zona de acceso público.

 

Luego, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. lo desarrolla en su artículo 28 del CAPÍTULO I sobre disposiciones generales: Medidas de responsabilidad activa. Obligaciones generales del responsable y encargado del tratamiento.

 

Además, el paso previo para elaborar esta EIPD en la empresa siempre será realizar el correspondiente ANÁLISIS DE RIESGOS, para determinar las amenazas y situaciones de riesgos a las que está expuesta una empresa según el tratamiento de datos personales que lleve  a cabo.

 

Durante el mes de julio de 2019, la AEPD presentó una herramienta WEB para elaborar las EIPD en su página web www.aepd.es llamado GESTIONA_EIPD.

 

¿Qué tratamientos de datos personales requieren evaluación de impacto?

La Agencia Española de Protección de Datos (AEPD) publicó ayer (4 de septiembre) el listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, para facilitar a los responsables de tratamiento la identificación de este tipo de tratamientos.

  

Recordamos que anteriormente, en mayo de 2019, también la AEPD publicó un listado de tratamientos en los que sí es obligatorio realizar una evaluación de impacto.

 

Podéis acceder a ambos documentos y ver los dos listados en los siguientes enlaces:

Este listado de tratamientos de datos personales deben quedar RECOGIDOS en un documento llamado REGISTRO DE ACTIVIDADES DE TRATAMIENTO, podríamos decir que este documento corresponde con los FICHEROS que se comunicaban a la AEPD antes de entrar en vigor el RGPD en mayo de 2018. Es obligatorio también para algunos responsables y encargados de tratamiento elaborar este registro y mantenerlo actualizado, así como ponerlo a disposición de posibles responsables / encargados para cesiones de datos personales.

 

Podéis ampliar información sobre la EIPD que hemos comentado en el documento publicado por la AEPD en el siguiente enlace:

Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679.

 

Nosotros, desde PREVENSYSTEM, os animamos a profundizar en la materia de protección de datos personales para que los  gestionéis correctamente tanto como RESPONSABLES DEL TRATAMIENTO como si sois ENCARGADOS DE TRATAMIENTO.

 

En nuestra PÁGINA WEB www.prevensystem.com  encontraréis toda la información sobre los productos que tenemos de formación de LOPD disponibles y también, de los productos  del área de consultoría LOPD.