El requisito de realizar una EIPD o Evaluación de Impacto de Protección de Datos se aplica a operaciones de tratamiento existentes que probablemente entrañan un alto riesgo para los derechos y libertades de las personas físicas y para las que se ha producido un cambio de los riesgos, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.
No será necesaria una EIPD o Evaluación de Impacto de Protección de Datos para operaciones de tratamiento que hayan sido comprobadas por una autoridad de control o el delegado de protección de datos, de conformidad con el artículo 20 de la Directiva 95/46/CE, y que se realicen de una forma que no haya cambiado desde la anterior comprobación. De hecho, «las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas» (considerando 171).
En cambio, esto significa que deberán someterse a una EIPD o Evaluación de Impacto de Protección de Datos los tratamientos cuyas condiciones de aplicación (alcance, fin, datos personales recogidos, identidad de los responsables o destinatarios del tratamiento, periodo de conservación de datos, medidas técnicas u organizativas, etc.) hayan cambiado desde la anterior comprobación realizada por la autoridad de control o el delegado de protección de datos y que probablemente entrañen un alto riesgo.
Además, podría requerirse una EIPD o Evaluación de Impacto de Protección de Datos después de que se produzca un cambio de los riesgos a causa de las operaciones de tratamiento, por ejemplo debido a la puesta en marcha de una nueva tecnología o a que los datos personales se usan para un fin distinto. Las operaciones de tratamiento de datos pueden evolucionar rápidamente y pueden surgir nuevas vulnerabilidades. Por tanto, cabe señalar que la revisión de una EIPD o Evaluación de Impacto de Protección de Datos no resulta útil solo para la mejora continua, sino que también es fundamental para mantener el nivel de protección de datos en un entorno que evoluciona con el tiempo. Una EIPD o Evaluación de Impacto de Protección de Datos también puede resultar necesaria debido a cambios en el contexto organizativo o social de la actividad de tratamiento, por ejemplo debido a que los efectos de determinadas decisiones automatizadas hayan ganado importancia o a que nuevas categorías de interesados se vuelvan vulnerables a la discriminación. Cada uno de estos ejemplos podría ser un elemento que originase un cambio del riesgo resultante de la actividad de tratamiento en cuestión.
En cambio, ciertos cambios también podrían reducir el riesgo. Por ejemplo, una operación de tratamiento podría evolucionar de forma que las decisiones ya no fueran automatizadas o una actividad de observación ya no fuera sistemática. En ese caso, la revisión del análisis de riesgo realizada puede mostrar que ya no se requiere la realización de una EIPD o Evaluación de Impacto de Protección de Datos.
Por razón de buenas prácticas, una EIPD o Evaluación de Impacto de Protección de Datos debe ser continuamente revisada y reevaluada con regularidad. Por tanto, incluso si el 25 de mayo de 2018 no se requiere una EIPD o Evaluación de Impacto de Protección de Datos, será necesario, en el momento oportuno, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva.
