Data privacy

La AEPD lanza el listado de tratamientos que exigirán una EIPD

También, podrías estar interesado en

La AEPD lanza el listado de tratamientos que exigirán una EIPD

  • 06/05/2019

La Agencia Española de Protección de Datos (“AEPD”), finalmente, ha publicado la lista de tratamientos de datos que requieren la realización de una evaluación de impacto relativa a la protección de datos (“EIPD”). A mitades de marzo de 2019, podíamos hacernos una idea de los tratamientos que estarían dentro de este listado, por ejemplo, el tratamiento de datos genéticos o biométricos. El listado de la AEPD, que presentamos a continuación, se debe entender como un listado no exhaustivo, que podrá ir creciendo a lo largo del tiempo.

LISTADO DE TRATAMIENTOS

  1. Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus hábitos.
  2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
  3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.
  4. Tratamientos que impliquen el uso de categorías especiales de datos personales, por ejemplo, datos de salud, orientación sexual, entre otros; datos relativos a condenas o infracciones penales; datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
  5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
  6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
  7. Tratamientos que impliquen el uso de datos a gran escala.
  8. Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
  9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
  10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
  11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados.

 

En el listado la AEPD establece claramente que “En el momento de analizar tratamientos de datos será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista”.  No se debería tomar a la ligera dicha directriz, ya que podría provocar que se realicen tratamientos que entrañen riesgos para los interesados y que no pasen por una EIPD. Por lo que, en el análisis de necesidad sobre si realizar o no una EIPD, exigido por la normativa, se deberá tener en cuenta la suma de los criterios identificados.

Asimismo, nos llaman la atención varios tratamientos que exigirán la realización de una EIPD si se dan en conjunto, por ejemplo, el tratamiento que implique el perfilado de un interesado sin necesidad de que este sea automatizado, el tratamiento de categorías sensibles de datos o el cruce de bases de datos utilizadas para diferentes finalidades.

Desde el Departamento de TMT estamos a vuestra disposición para dilucidar qué tipología de tratamientos dentro de vuestra organización pueden ser objeto de EIPD.