Contenidos de la página

Respuesta

Se exige una EIPD cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. Se exige una EIPD por lo menos en los tres casos siguientes:

  • la evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles,
  • el tratamiento a gran escala de datos sensibles,
  • la observación sistemática a gran escala de una zona pública.

Las autoridades nacionales de protección de datos (APD), junto con el Comité Europeo de Protección de Datos, pueden proporcionar listas de casos en los que se exige una EIPD. Esta debe realizarse antes del tratamiento y se considerará como una herramienta viva y no únicamente un ejercicio puntual. Cuando existan riesgos residuales que no puedan mitigarse mediante las medidas aplicadas, deberá consultarse a la APD antes de iniciar el tratamiento.

Ejemplos

EIPD obligatoria
Un banco que analiza a sus clientes utilizando una base de datos de referencia de crédito; un hospital antes de poner en funcionamiento una nueva base de datos de información sanitaria con los datos sobre la salud de los pacientes; un operador de autobuses antes de instalar cámaras a bordo para controlar el comportamiento de los conductores y pasajeros.

EIPD no obligatoria
Un médico de familia que trata datos personales de sus pacientes. En este caso, no debe realizarse una EIPD, porque el tratamiento por parte de los médicos de familia no se lleva a cabo a gran escala en los casos en que el número de pacientes es limitado.

Referencias

  • Grupo de trabajo del artículo 29. Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, 4 de abril de 2017

  • Artículos 35 y 36; considerandos 89, 90, 91, 92, 93, 94, 95 y 96