TIPOS DE TRATAMIENTOS QUE NO REQUIEREN UNA EVALUACIÓN DE IMPACTO
El Reglamento UE 2016/679, General de Protección de Datos del Parlamento Europeo y del Consejo, de 27 de abril (en adelante RGPD) dispone que las autoridades de control de cada país podrán publicar una lista con los tratamientos que no requieran de la elaboración de una EIPD, en virtud de ello, el pasado 4 de septiembre, la Agencia Española de Protección de datos publicó la LISTA ORIENTATIVA DE TIPOS DE TRATAMIENTOS QUE NO REQUIEREN UNA EVALUACIÓN DE IMPACTO (EIPD) RELATIVA A LA PROTECCIÓN DE DATOS SEGÚN EL ARTÍCULO 35.5 RGPD.
Cabe señalar que los tratamientos que exigen EIPD son los tratamientos de datos a gran escala, de evaluación sistemática y sensibles (datos de origen étnico, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos relativos a la salud o relativos a la vida sexual o las orientación sexuales de una persona física).
En la lista se establecen los tratamientos exentos de realizar una EIPD, sin perjuicio de otras obligaciones establecidas en el RGPD, por lo tanto, no es una lista de exención de las obligaciones que establece la normativa de protección de datos sobre los tratamientos de datos personales.
Por tanto, les solicitamos que verifiquen el listado a efectos de confirmar que los tratamientos de su actividad se encuentran exentos de realizar EIPD.
- No es necesario realizar la EIPD si los tratamientos de datos personales realizados en la empresa que alcancen datos sensibles se realizan con base a una solicitud de servicios o mandato concreto del interesado.
- No es necesario realizar la EIPD si en su actividad se realizan tratamientos de datos sensibles que sean necesarios para el cumplimiento de una obligación establecida en una norma Legal que legitima la utilización y comunicación de datos personales.
- No debe realizar la EIPD si los tratamientos de datos sensibles son realizados en el ejercicio de su labor profesional, en particular médicos, profesionales de la salud o abogados, auditores, economistas.
- No debe realizar la EIPD si realiza tratamientos de datos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral.
- No debe realizar EIPD por los tratamientos de sensibles realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
- Los tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro no deben realizar la EIPD para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos de origen étnico, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos relativos a la salud o relativos a la vida sexual o las orientación sexuales de una persona física, salvo se cuente con el consentimiento expreso para ese tratamiento.
Verónica Saavedra. Directora LOPD y Propiedad Intelectual
Para cualquier aclaración estamos a su disposición para atender cualquier consulta respecto al listado publicado y otras obligaciones sobre la normativa de Protección de Datos de carácter personal.