Siguiendo con nuestro análisis de esta nueva obligación de RGPD, como ya comentábamos la semana pasada, el RGPD nos proporciona una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo. La AEPD por su parte, deberá elaborar listas con los tipos de operaciones de tratamiento que requieran una evaluación de impacto.
Por otro lado, el RGPD habilita la posibilidad para que las autoridades de control puedan establecer y publicar listas con los tipos de tratamiento que no requieren de una evaluación de impacto.
Sin embargo, como bien indica nuestra Agencia, la existencia de estos listados no excluye el que los responsables deban realizar el correspondiente análisis de riesgo, que vimos cuando hablamos de las medidas de seguridad, y en caso de que concluyan que existe un alto riesgo para los derechos y libertades de los interesados, lleven a cabo una evaluación de impacto, aun cuando el tratamiento en cuestión no esté incluido en ninguna de las dos listas mencionadas.
El RGPD establece un contenido mínimo que deberán incluir las evaluaciones de impacto (art.35.7):
a) una descripción sistemática de:
1. las operaciones de tratamiento previstas
2. los fines del tratamiento, y
3. cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de estas operaciones de tratamiento con respecto a su finalidad,
c) una evaluación de los riesgos para los derechos y libertades de los interesados,
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y demuestren la conformidad con el presente Reglamento.
Por último indicar que el RGPD establece que, tanto el cumplimiento de códigos de conducta, como recabar la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, se tendrán debidamente en cuenta a la hora de evaluar las repercusiones de los tratamientos realizados por los responsables.