Articulo 39 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos al realizar la evaluación de impacto relativa a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 10 o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 11; o

c) observación sistemática a gran escala de una zona de acceso público.

4. El Supervisor Europeo de Protección de Datos establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.

5. El Supervisor Europeo de Protección de Datos podrá asimismo establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

6. Antes de adoptar las listas a que se refieren los apartados 4 y 5 del presente artículo, el Supervisor Europeo de Protección de Datos solicitará que el Comité Europeo de Protección de Datos establecido por el artículo 68 del Reglamento (UE) 2016/679 examine dichas listas de conformidad con el artículo 70, apartado 1, letra e), de dicho Reglamento cuando se refieran a las operaciones de tratamiento por parte de un responsable del tratamiento que actúe conjuntamente con uno o más responsables del tratamiento distintos de las instituciones y organismos de la Unión.

7. La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1; y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 del Reglamento (UE) 2016/679 por los encargados correspondientes que no sean instituciones u organismos de la Unión se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.

10. Cuando el tratamiento de conformidad con el artículo 5, apartado 1, letras a) o b), tenga su base jurídica en un acto jurídico adoptado sobre la base de los Tratados, que regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y cuando ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general anterior a la adopción de dicho acto jurídico, los apartados 1 a 6 del presente artículo no serán de aplicación salvo que se establezca de otro modo en dicho acto jurídico.

11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.