La AEPD exime a los abogados de la evaluación de impacto de los datos personales

05/09/2019

Los abogados no tendrán que realizar una evaluación de impacto relativa a la protección de datos (o PIA, por sus siglas en inglés: privacy impact assestment) de aquellos datos personales que traten con motivo de su actividad profesional. Así se desprende del listado que esta mañana ha publicado la Agencia Española de Protección de Datos (AEPD), relativo a los tratamientos en los que no es necesario efectuar este análisis. 

Según el documento, quedan excluidos, entre otros, los tratamientos "realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD". Es decir, como regla general están exentos, pero pueden darse casos especialmente sensibles en los que la PIA sí sea requerida. 

El Reglamento General de Protección de Datos (RGPD) recoge, en su artículo 35.1, que las organizaciones que traten datos están obligadas a realizar una evaluación de impacto antes de efectuar dicho tratamiento cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas. Admitiendo, en todo caso, que las autoridades de control publiquen un listado en los que se determine qué tipos de tratamiento no requieren tal análisis.

La AEPD, en todo caso, subraya que esta lista no exime a los abogados (ni al resto de quienes aparecen en ella) de cumplir el resto de obligaciones establecidas en la normativa sobre privacidad. Asimismo, recuerda que también ha publicado una relación de casos en los que sí es obligatorio llevar a cabo una PIA.

Tal y como apunta el organismo, la evaluación es "un proceso costoso y es necesario aplicar un principio de economía de medios". Si el responsable del tratamiento, tras un primer análisis cualitativo, concluye que no es necesario realizarla, podrá seguir adelante sin ella siempre que la decisión esté "suficientemente fundamentada".

Otros de los tratamientos excluidos

Junto con el mencionado relativo a médicos y abogados, el documento también apunta como otros tratamientos excluidos de la PIA, los que se realicen bajo directrices establecidas o autorizadas por las autoridades de control y, en particular, por la AEPD; los que se lleven a cabo siguiendo las directrices de códigos de conducta aprobados por la Comisión Europea o autoridades de control; y cuando el tratamiento derive de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

Además, también quedan fuera los tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de pymes con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral (pero nunca relativos a los datos de los clientes); los que lleven a cabo las comunidades de propietarios; y los de los colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, siempre que no se traten datos sensibles.