La Agencia Española de Protección de Datos (AEPD) ha publicado un documento en el que detalla una lista de tratamientos para los que no es necesaria la evaluación de impacto (EIPD), entendiendo que es un procedimiento costoso y que no es posible realizarla siempre. Para ello se han apoyado en el artículo 35.5 del Reglamento General de Protección de Datos (RGPD).

No estarán obligados los trabajadores autónomos que ejerzan de forma individual (en particular médicos, profesionales de la saludo o abogados) y que hagan dichos tratamientos en el ejercicio de su labor profesional. Aunque, en este caso, podría requerirse la evaluación cuando cumplan dos o más criterios de la lista de tipos de tratamientos que sí la requieren.

Tampoco lo estarán aquellos tratamientos obligados por ley y que tengan relación con la gestión de personal de las pymes. Algunos de ellos pueden ser las nóminas, la gestión de recursos humanos, la contabilidad, la seguridad social y la salud laboral. Por supuesto, no entran dentro de esta exención los tratamientos de datos de clientes.

Otros casos en los que no hay que hacer EIPD

Pero no sólo los autónomos son los que pueden “librarse” de hacer la evaluacion. No será necesaria la EIPD en los tratamientos que se realicen bajo las directrices de circulares o decisiones emitidas por las autoridades de control pertinentes, siempre que el tratamiento no se haya modificado desde entonces. Tampoco deberá realizarse si se siguen las pautas de los códigos de conducta aprobados por dichas autoridades o la Comisión Europea. En estos casos se debe haber hecho una EIPD completa para el código de conducta y dicho tratamiento se realiza incluyendo las medidas resultantes en dicha evaluación.

Aquellos tratamientos que estén realizados por comunidades colegios profesionales y asociaciones sin ánimo de lucro que realicen el tratamiento de datos personales de su asociados o donantes no tendrán la obligación de realizar la evaluación. Esos datos siempre deben tratarse dentro del ejercicio de su labor y no deben incluir datos sensibles, como establece el artículo 9.1 del RGDP y sin que sea de aplicación el artículo 9.2 (d).

Asimismo, siempre que un tratamiento sea realizado para una obligación legal o cumpliendo una misión de interés público tampoco será necesario realizar la evaluación. La excepción se hará cuando el propio mandato legal obligue a hacer la EIPD o si no se ha hecho completa con anterioridad.

Por último tampoco estarán obligados las comunidades y subcomunidades de propietarios, según el artículo 2 (a,b y d) de la Ley 49/1960 de Propiedad Horizontal.

Contenido elaborado por: Sego finance