EIPD Evaluación de Impacto Protección Datos: Guía

La Evaluación de Impacto de Protección de Datos (EIPD, o DPIA por sus siglas en inglés) es el instrumento que el RGPD establece para evaluar los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de los interesados, y para determinar las medidas necesarias para mitigar esos riesgos. No es necesaria para todos los tratamientos, pero cuando lo es, su ausencia puede acarrear sanciones significativas. Esta guía le explica cuándo debe realizarla y cómo hacerlo de forma práctica.

Para el contexto general de protección de datos, consulta mia guía completa del RGPD para empresas.

¿Cuándo es obligatoria la EIPD?

El artículo 35 del RGPD establece que la EIPD es obligatoria cuando un tratamiento, especialmente si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas. El Reglamento menciona tres supuestos específicos: la evaluación sistemática y exhaustiva de aspectos personales basada en un tratamiento automatizado (como el profiling o la toma de decisiones automatizadas con efectos jurídicos o significativos), el tratamiento a gran escala de categorías especiales de datos (salud, datos biométricos, datos genéticos, origen racial, orientación sexual) o datos relativos a condenas e infracciones penales, y la observación sistemática a gran escala de una zona de acceso público (videovigilancia masiva).

Además de estos tres supuestos, la AEPD ha publicado una lista de tipos de tratamiento que requieren EIPD en España. Esta lista incluye tratamientos que impliquen perfilado o valoración de sujetos, tratamientos que impliquen toma de decisiones automatizadas con efectos jurídicos, tratamientos que impliquen observación o monitorización sistemática, tratamientos de categorías especiales de datos a gran escala, tratamientos que supongan asociar o combinar conjuntos de datos de diferentes fuentes, tratamientos de datos de sujetos vulnerables (menores, personas con discapacidad, empleados), tratamientos que utilicen nuevas tecnologías o un uso innovador de tecnologías existentes, y tratamientos que impidan a los interesados ejercer un derecho o acceder a un servicio.

Como regla general, si su tratamiento cumple dos o más de estos criterios, la EIPD es obligatoria. Si cumple uno solo, es recomendable.

Metodología paso a paso

Paso 1: descripción del tratamiento

Documente con detalle qué datos se van a tratar, de quién, para qué finalidad, con qué base legal, cómo se van a recoger, almacenar y procesar, quién tendrá acceso, si se van a transferir a terceros o fuera de la UE, durante cuánto tiempo se conservarán, y qué tecnologías se van a utilizar.

Paso 2: análisis de necesidad y proporcionalidad

Evalúa si el tratamiento es necesario para la finalidad perseguida (¿se podrían obtener los mismos resultados con menos datos o con un tratamiento menos invasivo?) y si es proporcional al impacto sobre los derechos de los interesados.

Paso 3: evaluación de riesgos para los derechos y libertades

Identifica los riesgos específicos que el tratamiento puede suponer para los interesados. Los riesgos habituales incluyen la discriminación (si los datos se usan para tomar decisiones que afectan a personas), la usurpación de identidad (si se produce una brecha con datos identificativos), el daño físico o material (si los datos comprometen la seguridad de las personas), el daño reputacional (si se divulgan datos sensibles), la pérdida de confidencialidad (acceso no autorizado a datos sensibles), y la pérdida de control sobre los propios datos (tratamiento opaco o excesivo).

Para cada riesgo, evalúa la probabilidad de materialización y la gravedad del impacto.

Paso 4: medidas de mitigación

Para cada riesgo identificado, determine las medidas que reducen el riesgo a un nivel aceptable. Las medidas pueden ser técnicas (cifrado, seudonimización, control de acceso, monitorización), organizativas (políticas, formación, procedimientos, auditorías), legales (cláusulas contractuales, consentimiento reforzado, transparencia adicional) o de diseño (minimización de datos, limitación de acceso, eliminación temprana).

Paso 5: documentación y revisión

Documente todo el proceso y las conclusiones en un informe de EIPD. Si después de aplicar las medidas de mitigación el riesgo residual sigue siendo alto, debe consultar con la AEPD antes de iniciar el tratamiento (consulta previa, artículo 36 del RGPD).

La herramienta Gestiona RGPD de la AEPD

La AEPD ha desarrollado la herramienta gratuita Gestiona RGPD que guía al usuario en el proceso de evaluación de riesgos y determinación de la necesidad de EIPD. La herramienta le hace preguntas sobre su tratamiento, evalúa el nivel de riesgo, le indica si necesita EIPD, y si la necesita, le guía en el proceso de realizarla.

Es una herramienta especialmente útil para PYMEs que no tienen experiencia previa en evaluaciones de impacto y quieren un punto de partida estructurado.

Relación con ISO 27001 y gestión de riesgos

La EIPD comparte muchos elementos con el análisis de riesgos de ISO 27001 y de ISO 31000. Si tu empresa ya tiene un sistema de gestión de seguridad de la información conforme a ISO 27001, gran parte del trabajo de análisis de riesgos ya está hecho. El enfoque integrado es el más eficiente: un solo proceso de análisis de riesgos que cubra tanto los riesgos para la organización (ISO 27001) como los riesgos para los derechos de los interesados (RGPD). Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.

Consulta mio artículo sobre gestión de riesgos con ISO 31000 para un marco complementario de análisis de riesgos.

[[CTA-CONTACT]] ¿Necesita realizar una Evaluación de Impacto de Protección de Datos? Hablamos. Te acompaño en todo el proceso con la metodología adecuada y la experiencia práctica para identificar los riesgos y definir las medidas de mitigación eficaces.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.