Modelo de informe final sobre la necesidad de realizar una evaluación de impacto de protección de datos o EIPD

El EIPD o evaluación de impacto de protección de datos, es un protocolo de evaluación de potenciales riesgos en el tratamiento de datos cuando este entrañe un riesgo «para los derechos y libertades de las personas físicas» (art. 35 del RGPD).

Regulado en los artículo 35 de la RGPD y 28 de la LOPDGDD, debe dejarse claro que, como normal general, el EIPD no es una medida obligatoria per se, sino que serán los responsables y encargados de tratamiento los que «(...) valorarán si procede la realización de la evaluación de impacto en la protección de datos (...)».

Teniendo en cuenta esto, el formulario que nos ocupa materializa la necesidad de aplicar dicha medida ante la existencia de riesgos detectados, tales como:

• Probabilidad media/alta de materializar riesgos.
• Riesgos inherentes a las actividades de la empresa.

Del mismo modo, la EIPD será obligatoria cuando (art. 35.3):

• Cuando el tratamiento de datos se realice en un contexto de decisiones automatizadas (art. 22 del RGPD).
• Cuando se realicen tratamientos a gran escala de categorías de datos especiales, como los contemplados en el artículo 9.1 (datos que determinen el origen étnico, opinión política, convicciones religiosas o afiliación sindical entre otros).
• Cuando se observen a gran escala, de forma sistemática, zonas de acceso público.