El artículo 35.1 del Reglamento General de Protección de Datos (RGPD) recoge que las organizaciones que traten datos están obligadas a realizar una evaluación de impacto antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.
La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, dando así cumplimiento a lo dispuesto en el apartado 5 del mismo precepto legal, según el cual las autoridades de control podrán publicar la lista de los tipos de tratamiento que no requieren una evaluación de impacto. Puede consultar el listado en el siguiente enlace: https://www.aepd.es/media/guias/ListasDPIA-35.5l.pdf
Además, tal y como exige el RGPD, la AEPD ha comunicado dicho listado al Comité Europeo de Protección de Datos.
Con anterioridad, la AEPD había publicado otra lista con aquellos tratamientos en los que sí es obligatorio llevar a cabo una evaluación de impacto. Puede consultar el listado en el siguiente enlace: https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf