Las EIPD son instrumentos importantes para la rendición de cuentas, ya que ayudan a los responsables no solo a cumplir los requisitos del RGPD, sino también a demostrar que se han tomado medidas adecuadas para garantizar el cumplimiento del Reglamento (artículo 24). Podríamos definirla como un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad, que ayuda a gestionar los riesgos para los derechos y libertades de las personas físicas, derivados del tratamiento de datos personales, a la vez que los evalúa y determina las medidas para abordarlos.

La AEPD ha publicado recientemente la lista de los supuestos en que es obligatorio realizar una Evaluación de Impacto. A continuación desarrollaremos las directrices del grupo de trabajo del art 29, actualmente llamado Comité Europeo de Protección de datos, en las que se ha basado la AEPD, donde se tratan diferentes supuestos asociados a riesgos en los que es necesario realizar una Evaluación de Impacto relativa a la Protección de Datos.

 

Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que requieran una EIPD, debido a su inherente alto riesgo, se deben considerar los nueve criterios siguientes:

  1. Evaluación o puntuación, incluida la elaboración de perfiles y la predicción, especialmente de aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado (considerandos 71 y 91).
  2. Toma de decisiones automatizada con efecto jurídico significativo o similar.
  3. Observación sistemática.
  4. Datos sensibles o datos muy personales.
  5. Tratamiento de datos a gran escala.
  6. Asociación o combinación de conjuntos de datos.
  7. Datos relativos a interesados vulnerables (considerando 75).
  8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de acceso, etc.
  9. Cuando el propio tratamiento impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato (artículo 22 y considerando 91).

 

Cuando concurran uno o más criterios, como responsables de tratamiento, tendremos que valorar la posibilidad de realizar una Evaluación de Impacto.