La Firma
Áreas
Inteligencia
Equipo
Insights
Contacto

Madrid · Internacional

02.03.2018

Evaluación de Impacto sobre la Protección de Datos, ¿cuándo estoy obligado?

Una de las novedades del nuevo Reglamento Europeo en materia de Protección de Datos (de aplicación a partir de mayo) es la obligación de realizar una Evaluación de Impacto. Pero ¿cuándo estoy obligado? A continuación analizaremos los diversos supuestos tasados por la normativa europea. La nueva filosofía europeísta en materia de protección de datos, aboga por la denominada “responsabilidad proactiva”. Es decir, la idea es que las Compañías realicen procedimientos de autoanálisis y adopten con carácter previo al tratamiento las medidas de seguridad idóneas a la naturaleza de los datos tratados. En este nuevo espíritu de la materia, el Reglamento Europea obliga a las Compañías que tratan grandes volúmenes de datos o datos especialmente sensibles la realización de esta Evaluación. Se trata de un informe que obliga a realizar un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos de los afectados cuyos datos se tratan. Como consecuencia de dicho análisis, la Compañía deberá adoptar las medidas necesarias para mitigar o eliminar los daños que se hayan identificado.

¿Necesitas asesoramiento legal?

Contactar con ILP Abogados

Supuestos en los que el Reglamento Europeo (Art. 35) exige una Evaluación de Impacto:

1º. Alto riesgo

Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas atendiendo a si emplean nuevas tecnologías o por su naturaleza, su alcance, o por sus fines. Se trata de los supuestos de monitorización del comportamiento o la publicidad basada en el mismo, la elaboración de perfiles de cualquier tipo; la evaluación de la personalidad o de la situación financiera, familiar, gustos, aficiones y las que impliquen el tratamientos de datos especialmente protegidos.

2º. Evaluación sistemática y exhaustiva de aspectos personales de la personas físicas

Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de la personas físicas. Por ejemplo, la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos.

3º. Categorías especiales de datos

Cuando se realice un tratamiento a gran escala de categorías especiales de datos (datos relacionados con política, religión, salud, entre otros). Sin embargo, no será obligatorio, cuando un médico, o un abogado traten datos de sus pacientes o clientes.

4º. Observación sistemática a gran escala de una zona de acceso público

Cuando se realice una observación sistemática a gran escala de una zona de acceso público. Por ejemplo, en el caso de los dispositivos optoelectrónicos (convierten las señales ópticas en electrónicas y viceversa) los cuales tienen aplicaciones que se utilizan en productos de consumo masivo. El Reglamento Europeo señala en el citado artículo, que la Autoridad de control, es decir, Agencia Española de Protección de Datos (AEPD) deberá publicar una lista con los tipos de operaciones de tratamiento que requieran una Evaluación de Impacto. De momento, y hasta la aprobación de estas directrices específicas, debemos destacar, un breve resumen de la serie de situaciones para las que se entiende aconsejable realizar una Evaluación para la AEPD. En la línea del Reglamento europeo, incluye: los tratamientos significativos no incidentales de datos de menores; el tratamiento de datos personales masivos (Big Data), el internet de las cosas, la construcción de ciudades inteligentes; la video vigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la geolocalización… En general aquellos que traten un gran volumen de datos, traten datos especialmente protegidos, o utilicen formas de contacto especialmente intrusivas.

Conclusión

En conclusión, las Evaluaciones de Impacto están previstas para los tratamientos de datos que impliquen un alto riesgo en los derechos y libertades del individuo. La normativa presume este riego en las categorías especiales de datos, cuando afectan a menores o cuando el tratamiento evalúa aspectos personales con el fin de la creación de perfiles.

Enlaces de interés

Sanciones por Inadaptación al Reglamento de Protección de Datos /sanciones-inadaptacion-al-nuevo-reglamento-proteccion-datos/

GUÍA GRATUITA

Regulación Financiera España 2026

DORA + MiCA + MiFID II + EMIR en un solo documento

Descargar gratis →

Datos, Regulatorio Financiero

GUÍA GRATUITA

Regulación Financiera España 2026

DORA + MiCA + MiFID II + EMIR en un solo documento

Descargar gratis →

Todas 1397
Asesoramiento corporativo 35
Compliance 4
Concursal 64
- Reestructuración de deuda 3
Energía y Sostenibilidad 83
Impuestos 57
Litigios 156
M&A 150
Regulatorio Financiero 222
Secretarías de consejo 14
Societario 290
Startups 180
Top 100 100

Videos relacionados

Cargando videos…

Top 100 articulos

Inteligencia que entiende tu negocio

Firma de abogados especializada en regulatorio financiero, M&A y derecho corporativo.

Servicios

Regulatorio Financiero M&A Compliance Concursal Energía Protección de Datos Nuestro Equipo Glosario Legal

Contacto

atencionalcliente@ilpabogados.com +34 914 582 492

MADRID
Paseo de la Castellana 120
5º Izquierda, 28046

Newsletter

Recibe el Radar Regulatorio mensual directamente en tu email.

INTERNACIONAL
España · Portugal · Bélgica

Aviso legal Privacidad Cookies

Manage Consent

To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.

Functional Functional Always active

The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.

Preferences Preferences

The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.

Statistics Statistics

The technical storage or access that is used exclusively for statistical purposes. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.

Marketing Marketing

The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.

Evaluación de Impacto sobre la Protección de Datos, ¿cuándo estoy obligado?

Supuestos en los que el Reglamento Europeo (Art. 35) exige una Evaluación de Impacto:

1º. Alto riesgo

2º. Evaluación sistemática y exhaustiva de aspectos personales de la personas físicas

3º. Categorías especiales de datos

4º. Observación sistemática a gran escala de una zona de acceso público

Conclusión

Enlaces de interés

Regulación Financiera España 2026

Videos relacionados

Discover more from ILP Abogados