EXCEPCIONES A LA OBLIGACIÓN DE REALIZAR EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

El art. 35 del Reglamento General de Protección de Datos (RGPD) establece la obligación de realizar Evaluaciones de Impacto de Protección de Datos (EIPD). Será necesaria llevarla a cabo sobre aquellos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas -en particular si utilizan nuevas tecnologías-, por su naturaleza, alcance, contexto o fines. En cualquier caso, será imprescindible siempre que el tratamiento consista en:

  1. La evaluación sistemática y exhaustiva que se base en un tratamiento automatizado de aspectos personales de personas físicas, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. El tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales,
  3. La observación sistemática a gran escala, mediante sistemas audiovisuales, de una zona de acceso público.

Las excepciones con respecto a los tratamientos de datos de salud, o de condenas e infracciones penales, se establecen en el Considerando 91 del RGPD:

“No se considerará un tratamiento a gran escala, el tratamiento de datos de salud (…) por un médico u otro profesional de la salud, a título de autónomo o empresario individual, o los datos de condenas e infracciones penales (…) por un solo abogado, quedando estas actividades de tratamiento exentas de realizar la Evaluación de Impacto.”

Del mismo modo, la AEPD ha publicado un listado de tratamientos que no requieren de EIPD en el que incluyen esta excepción del mencionado Considerando 91, eximiendo de realización de EIPD a médicos, profesionales de salud o abogados autónomos en el ejercicio de su labor profesional, siempre que estos tratamientos no cumplan con dos o más criterios derivados del listado de actividades del tratamiento que requieren de EIPD publicada por la misma AEPD.

Por lo tanto, en lo relativo al resto de tratamientos de datos realizados por médicos, profesionales de la salud o abogados autónomos, y que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, la EIPD continuará siendo obligatoria, del mismo modo que la realización del análisis de riesgos que determinará la necesidad o no de realizar dichas EIPD.

Los tratamientos que requerirán de EIPD en cualquier caso, ya se realicen por médicos, abogados o cualquier otro profesional podrán ser, por ejemplo: los sistemas de identificación y control horario mediante huella dactilar o reconocimiento facial (tratamiento de datos biométricos); el tratamiento de datos genéticos; el tratamiento automatizado de datos para la toma de decisiones sobre los sujetos interesados; la aplicación de sistemas o aplicaciones que requieran de nuevas tecnologías que resulten invasivas (como la teleconsulta); así como el resto de tratamientos incluidos en los listados de la Agencia Española de Protección de Datos u otras Autoridades de Protección de Datos Europeas.

No dudes en contactar con nosotros para cualquier consulta al respecto (correo electrónico a consultor@logicdataconsulting.com )