La Agencia Vasca de Protección de Datos ha difundido de forma conjunta con la Agencia Española, la Autoridad Catalana y el Consejo de Transparencia y Protección de Datos de Andalucía un listado de tratamientos de datos qué por su naturaleza, alcance, contexto o fines, pueden suponer un alto riesgo para los derechos y libertades de las personas, y que requerirán obligatoriamente de una Evaluación de Impacto.
El propio Reglamento General de Protección de Datos, que adquirió plena vigencia el 25 de mayo de 2018, establece unas bases generales en las que establece que la Evaluación se realizará cuando se elaboren perfiles sobre cuyas bases se tomen decisiones con efectos jurídicos, sean datos relacionados con condenas o infracciones penales, o contengan observaciones sistemáticas a gran escala de zonas de acceso público.
El listado hecho público ha sido aprobado por el Comité Europeo de Protección de Datos, y da así cumplimiento a lo dispuesto por el RGPD que solicita de las Autoridades de Control la publicación de un listado más exhaustivo y pormenorizado con los tratamientos que requieran esa Evaluación de Impacto. La lista, elaborada a partir de las conclusiones del Grupo de Trabajo del Artículo 29, incluye once supuestos y establece que la Evaluación se deberá realizar obligatoriamente si el tratamiento incluye al menos dos o más de los criterios recogidos.
En el listado se incluyen tratamientos tales como aquellos que conlleven geolocalización o recogida de meta datos a través de redes sociales, el uso de datos biométricos y genéticos, aquellos que identifiquen a individuos vulnerables o en riesgo de exclusión o los que se traten con nuevas tecnologías de forma combinada.
Listado de tratamientos que SI REQUIEREN evaluación de impacto (PDF) 
Listado de tratamientos que NO REQUIEREN evaluación de impacto (PDF)
