EIPD RGPD: ¿cuándo es legalmente obligatoria una Evaluación de Impacto?

Una Evaluación de Impacto en Protección de Datos (EIPD/DPIA) es un análisis documentado y estructurado de una actividad de tratamiento "que probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas" (Art. 35 RGPD). Identifica el riesgo, las salvaguardas, el riesgo residual y — si el residual sigue siendo alto — activa una consulta previa obligatoria con la autoridad de control antes de iniciar el tratamiento. Omitir una EIPD obligatoria es por sí mismo una infracción sancionable.

El Art. 35(3) enumera tres disparadores automáticos; las directrices EDPB (WP248 rev.01) y cada autoridad nacional publican listas negras adicionales.

• Decisiones automatizadas sistemáticas y extensivas con efectos jurídicos o similares (scoring de crédito, cribas de contratación automatizadas)
• Tratamiento a gran escala de categorías especiales (Art. 9) o de condenas penales (Art. 10) — salud, biometría, religión, opinión política, etc.
• Observación sistemática a gran escala de zonas de acceso público (redes CCTV, analítica de aforo, sensores smart-city)
• AEPD añade: solvencia, fraude o scoring de riesgo; identificación biométrica; seguimiento masivo de empleados
• CNIL y AP publican listas similares — consulte siempre la lista negra de su autoridad principal

El EDPB WP248 dice que también debe hacer EIPD cuando se cumplan al menos dos de nueve criterios. Las PYMEs casi siempre cumplen dos sin saberlo.

• Evaluación o scoring (incluido perfilado)
• Decisiones automatizadas con efecto jurídico o significativo
• Observación sistemática
• Datos sensibles o de naturaleza altamente personal
• Tratamiento a gran escala
• Cruzar o combinar datasets (CRM + analítica de marketing)
• Datos de interesados vulnerables (empleados, menores, pacientes)
• Uso innovador o nuevas tecnologías (IA, biometría, IoT)
• El tratamiento impide ejercer un derecho o usar un servicio

Una EIPD sin estos cuatro elementos no es EIPD a ojos de un inspector. Hemos visto "EIPDs" rechazadas por la AEPD por ser un registro de riesgos de una página.

• Descripción sistemática del tratamiento previsto y de sus fines (incluido interés legítimo si aplica)
• Evaluación de necesidad y proporcionalidad respecto a los fines
• Evaluación de los riesgos para los derechos y libertades de los interesados
• Medidas previstas para abordar los riesgos, incluidas garantías, medidas de seguridad y mecanismos para demostrar el cumplimiento

Seis fallos recurrentes que auditamos cada trimestre:

• Hacer la EIPD tras la puesta en producción (debe ser antes de iniciar el tratamiento)
• Sin firma del DPO (obligatorio si lo tiene)
• Sin paso de consulta a interesados documentado (Art. 35(9))
• Tratar la EIPD como puntual — debe revisarse cuando el tratamiento cambia sustancialmente
• Sin consulta previa a la autoridad de control pese a riesgo residual alto (Art. 36)
• Descripciones de riesgo genéricas copiadas sin contexto

Ejecutable en una tarde interna para la mayoría de casos PYME.

• 1. Threshold check: aplique tests del Art. 35(3) y de los 9 criterios. Documente la respuesta — incluso un "no procede" debe registrarse.
• 2. Mapeo: inventario de datos, base jurídica, plazo de conservación, flujos incluidas transferencias internacionales (puede requerir TIA)
• 3. Evaluación de riesgos: probabilidad y severidad por cada riesgo identificado
• 4. Mitigaciones y riesgo residual: cifrado, pseudonimización, control de acceso, contrato con encargado
• 5. Firma y ciclo de revisión: DPO + Responsable firman; revisión al menos anual o por cambio sustancial

Publicamos una plantilla EIPD editable alineada con EDPB WP248, AEPD y CNIL en nuestra biblioteca de recursos. Si quiere revisión senior de privacidad, ofrecemos un servicio cerrado de revisión EIPD de 2 horas. Reserve una llamada y le presupuestamos en un día laborable.