Los tratamientos iniciados antes de la aplicación del RGPD, ¿deben someterse a una Evaluación de impacto?

En el caso de las operaciones de tratamiento iniciadas con anterioridad a la aplicación del Reglamento debiera realizarse y superarse una evaluación de impacto cuando se hayan producido cambios en los riesgos que el tratamiento implica en relación con el momento en que el tratamiento se puso en marcha. El responsable debe analizar caso por caso, teniendo en consideración si antes de la aplicación del RGPD había analizado los riesgos en los derechos y libertades de los interesados derivados del tratamiento y bajo qué parámetros, que ofrezca un término comparativo en cuanto al cambio en los riesgos del tratamiento desde el enfoque del RGPD. De no existir un previo análisis en los términos del RGPD se deberá realizar el mismo a los efectos de identificar, evaluar y valorar los riesgos presentes en el tratamiento y determinar, en su caso, la necesidad de realizar una evaluación de impacto.

Este cambio en los riesgos puede derivar, por ejemplo, del hecho de que se hayan empezado a aplicar nuevas tecnologías a ese tratamiento, de que los datos se estén usando para finalidades distintas o adicionales a las que se decidieron en su momento, o de que se estén recogiendo más datos, o datos diferentes, de los que en principio se utilizaban para el tratamiento. No obstante, los riesgos también pueden haber cambiado, aunque no cambie el tratamiento que se está realizando ni la tecnología con la que se realiza porque el contexto tecnológico de antes del RGPD no es comparable con el actual y por lo tanto tampoco los riesgos. A estos efectos resulta útil consultar las Listas de tipos de tratamientos de datos que requieren Evaluación de impacto relativa a protección de datos (art 35.4).