El Reglament UE 2016/679, General de Protecció de Dades del Parlament Europeu i de Consell, de 27 d'abril (des d'ara GRPD) dedica la Secció 3 del seu capítol IV "Responsable del tractament i encarregat del tractament" a l'Avaluació d'Impacte relativa a la protecció de dades (des d'ara EIPD).
En concret, l'apartat 1 de l'article 35 estableix, amb caràcter general, l'obligació que tenen els responsables dels tractaments de dades de realitzar una EIPD amb caràcter previ a la posada en funcionament de tals tractaments quan sigui probable que aquests per la seva naturalesa, abast, context o fins comportin un alt risc per als drets i llibertats de les persones físiques, alt risc que, segons el mateix Reglament, es veurà incrementat quan els tractaments es realitzen utilitzant "noves tecnologies".
D'altra banda, l'article 35.3 estableix que la EIPD es requerirà en particular en el cas de:
a) Avaluació sistemàtica i exhaustiva d'aspectes personals de persones físiques que es basi en un tractament automatitzat, com l'elaboració de perfils, i sobre la base del qual prenguin decisions que produeixin efectes jurídics per a les persones físiques o que els afectin significativament de manera similar;
b) Tractament a gran escala de les categories especials de dades a què es refereix l'article 9, apartat 1, o de les dades personals relatives a condemnes i infraccions penals a què es refereix l'article 10, o la
c) Observació sistemàtica a gran escala d'una zona d'accés públic.
Per facilitar als responsables dels tractaments la identificació d'aquells tractaments que requereixen una EIPD, el RGPD disposa que les autoritats de control han de publicar una llista amb els tractaments que requereixin d'una EIPD. Aquesta llista s'ha de comunicar al Comitè Europeu de Protecció de Dades (CEPD).
Llistat publicat per l’agència de protecció de dades, clica aquí
Departament LOPD