Aquest dilluns, tant l'Agència Espanyola de Protecció de Dades com l'Autoritat Catalana de Protecció de Dades van publicar una llista dels tipus de tractaments de dades que requereixen avaluació d'impacte relativa a la protecció de dades d'acord amb el que preveu l'article 35.4 del Reglament (UE) 2016/679 del Parlament i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE.

Un cop publicat el llistat haurem de tenir presents aquelles operacions de tractaments de dades que són pròpies de l'àmbit sanitari i social i, per tant, mereixen una especial atenció. No obstant, cal no oblidar els altres tipus de tractaments de dades que igualment es poden dur a terme en l'àmbit sanitari i social.

Així doncs, les entitats de l'àmbit sanitari i social hauran realitzar una avaluació d'impacte relativa a la protecció de dades quan es realitzin:

1. Tractaments que impliquin l'ús de categories especials de dades a què fa referència l'article 9.1 del RGPD (origen ètnic o racial, les conviccions religioses, afiliació sindical,  dades genètiques, dades biomètriques destinades a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l'orientació sexual d'una persona física), dades relatives a condemnes o infraccions penals o dades que permetin determinar la situació financera o de solvència patrimonial o deduir informació sobre les persones relacionada amb categories especials de dades.
2. Tractaments que impliquin l'ús de dades genètiques per a qualsevol fi.
3. Tractaments de dades de subjectes vulnerables o en risc d'exclusió social, incloent dades de menors de 14 anys, majors amb algun grau de discapacitat, persones que accedeixen a serveis socials i víctimes de violència de gènere, així com els seus descendents i persones que estiguin sota la seva guàrdia i custòdia.

D'altra banda, caldrà tenir en consideració la realització d'una avaluació d'impacte relativa a la protecció de dades si es realitzen tractaments que impliquin perfilat o valoració de subjectes; la presa de decisions automatitzades o que contribueixin en gran mesura a la presa d'aquestes decisions; que impliquin l'observació, monitorització, supervisió, geolocalització o control de l'interessat de forma sistemàtica o exhaustiva, inclosa la recollida de dades i metadades a través de xarxes, aplicacions o en zones d'accés públic; tractaments que impliquin l'ús de dades biomètriques amb el propòsit d'identificar de manera única a una persona física i; tractaments que impliquin la utilització de noves tecnologies o un ús innovador de tecnologies consolidades.