El Reglamento General de Protección de Datos (RGPD) en su artículo 35.1. indica que las organizaciones que traten datos están obligados a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD).
Sin embargo, no se puede afirmar que esta obligación sea absoluta en todos los casos, ya que en el apartado 5º del mismo artículo establece una cláusula abierta por medio de la cual, permite que las autoridades de control (Como la Agencia Española de Protección de Datos, AEDP) publiquen listas de tipos de tratamientos que no requieran la EIPD, como es la siguiente:
- No será necesario realizar una EIPD cuando, en primer lugar, una autoridad de control lo haya dictaminado a través de una circular o decisión y, en segundo lugar, cuando el tratamiento no se haya modificado desde que fue autorizado.
- Igualmente, no se requerirá cuando el tratamiento se realice cumpliendo códigos de conducta aprobados por la Comisión Europea o Autoridades de Control y a su vez, se hubiera llevado a cabo una EIPD para validar dicho código.
- En último lugar, también se encuentran exentos los trabajadores autónomos que ejerzan de manera particular o profesionales. Sin perjuicio de que se pueda requerir cuando cumplan con dos o más criterios de la lista de tratamientos que SÍ requieren EIPD.
¿Y esto en qué me afecta?
A la hora de dar el paso y decidir si debemos o no realizar una EIPD tendremos que analizar muy bien la lista y estar completamente seguros de que se encuentre exento nuestro tratamiento. Por ello, no por el hecho de ser trabajadores autónomos debemos descartar la EIPD, puesto que lo primordial es el nivel de riesgos que corran los derechos y obligaciones de nuestros clientes y saber si la ley nos deja esa posibilidad o preguntar a nuestro consultor de Cohaerentis si se adecúa.
-Laura Cebrian Santaolalla 
https://www.linkedin.com/in/laura-cebrián-santaolalla-3a2484173/
