Artículo 35

Evaluación de impacto relativa a la protección de datos

  • Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnolog√≠as, por su naturaleza, alcance, contexto o fines, entra√Īe un alto riesgo para los derechos y libertades de las personas f√≠sicas, el responsable del tratamiento realizar√°, antes del tratamiento, una evaluaci√≥n del impacto de las operaciones de tratamiento en la protecci√≥n de datos personales. Una √ļnica evaluaci√≥n podr√° abordar una serie de operaciones de tratamiento similares que entra√Īen altos riesgos similares.
  • El responsable del tratamiento recabar√° el asesoramiento del delegado de protecci√≥n de datos, si ha sido nombrado, al realizar la evaluaci√≥n de impacto relativa a la protecci√≥n de datos.
  • La evaluaci√≥n de impacto relativa a la protecci√≥n de los datos a que se refiere el apartado¬†1 se requerir√° en particular en caso de:
    • a) evaluaci√≥n sistem√°tica y exhaustiva de aspectos personales de personas f√≠sicas que se base en un tratamiento automatizado, como la elaboraci√≥n de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jur√≠dicos para las personas f√≠sicas o que les afecten significativamente de modo similar;
    • b) tratamiento a gran escala de las categor√≠as especiales de datos a que se refiere el art√≠culo¬†9, apartado¬†1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el art√≠culo¬†10,¬†o
    • c) observaci√≥n sistem√°tica a gran escala de una zona de acceso p√ļblico.
  • La autoridad de control establecer√° y publicar√° una lista de los tipos de operaciones de tratamiento que requieran una evaluaci√≥n de impacto relativa a la protecci√≥n de datos de conformidad con el apartado¬†1. La autoridad de control comunicar√° esas listas al Comit√© a que se refiere el art√≠culo¬†68.
  • La autoridad de control podr√° asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protecci√≥n de datos. La autoridad de control comunicar√° esas listas al Comit√©.
  • Antes de adoptar las listas a que se refieren los apartados¬†4 y¬†5, la autoridad de control competente aplicar√° el mecanismo de coherencia contemplado en el art√≠culo¬†63 si esas listas incluyen actividades de tratamiento que guarden relaci√≥n con la oferta de bienes o servicios a interesados o con la observaci√≥n del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulaci√≥n de datos personales en la Uni√≥n.
  • La evaluaci√≥n deber√° incluir como m√≠nimo:
    • a) una descripci√≥n sistem√°tica de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el inter√©s leg√≠timo perseguido por el responsable del tratamiento;
    • b) una evaluaci√≥n de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
    • c) una evaluaci√≥n de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado¬†1,¬†y
    • d) las medidas previstas para afrontar los riesgos, incluidas garant√≠as, medidas de seguridad y mecanismos que garanticen la protecci√≥n de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses leg√≠timos de los interesados y de otras personas afectadas.
  • El cumplimiento de los c√≥digos de conducta aprobados a que se refiere el art√≠culo¬†40 por los responsables o encargados correspondientes se tendr√° debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluaci√≥n de impacto relativa a la protecci√≥n de datos.
  • Cuando proceda, el responsable recabar√° la opini√≥n de los interesados o de sus representantes en relaci√≥n con el tratamiento previsto, sin perjuicio de la protecci√≥n de intereses p√ļblicos o comerciales o de la seguridad de las operaciones de tratamiento.
  • Cuando el tratamiento de conformidad con el art√≠culo¬†6, apartado¬†1, letras¬†c) o¬†e), tenga su base jur√≠dica en el Derecho de la Uni√≥n o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operaci√≥n espec√≠fica de tratamiento o conjunto de operaciones en cuesti√≥n, y ya se haya realizado una evaluaci√≥n de impacto relativa a la protecci√≥n de datos como parte de una evaluaci√≥n de impacto general en el contexto de la adopci√≥n de dicha base jur√≠dica, los apartados¬†1 a¬†7 no ser√°n de aplicaci√≥n excepto si los Estados miembros consideran necesario proceder a dicha evaluaci√≥n previa a las actividades de tratamiento.
  • En caso necesario, el responsable examinar√° si el tratamiento es conforme con la evaluaci√≥n de impacto relativa a la protecci√≥n de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.