Plantilla EIPD RGPD (Artículo 35)

El Artículo 35(1) del RGPD exige una EIPD cuando el tratamiento "es probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas". El EDPB (WP248 rev.01) publica nueve criterios — cumplir dos o más activa la obligación.

• Evaluación o puntuación (incl. perfilado y predicción)
• Decisiones automatizadas con efecto jurídico o similar significativo
• Observación sistemática (CCTV en zonas públicas, monitorización de empleados)
• Datos sensibles o altamente personales (Art. 9 categorías especiales, datos penales, datos financieros)
• Tratamiento a gran escala
• Asociación o combinación de conjuntos de datos de operaciones distintas
• Datos de personas vulnerables (empleados, menores, pacientes)
• Uso innovador o nuevas soluciones tecnológicas/organizativas (IA, IoT)
• Tratamientos que impidan a los interesados ejercer un derecho o utilizar un servicio

Una EIPD aceptada por la AEPD debe contener cuatro secciones obligatorias conforme al Artículo 35(7). Omitir cualquier sección invalida la evaluación.

• Sección 1 — Descripción sistemática de las operaciones y los fines (incl. interés legítimo si aplica)
• Sección 2 — Evaluación de la necesidad y proporcionalidad respecto al fin
• Sección 3 — Evaluación del riesgo para los derechos y libertades (probabilidad × gravedad para confidencialidad, integridad, disponibilidad)
• Sección 4 — Medidas previstas para abordar los riesgos (técnicas y organizativas), con evaluación del riesgo residual

El Artículo 36 obliga a la consulta previa cuando la EIPD muestre que el tratamiento entrañaría un alto riesgo residual sin medidas de mitigación. La guía AEPD es estricta aquí — esperan una presentación formal con la EIPD completa, la visión de riesgo del responsable, el dictamen del DPD y un plan de mitigación.

• Las autoridades tienen 8 semanas para responder (ampliable a 14 para asuntos complejos)
• Durante este periodo el tratamiento no debe iniciarse
• No consultar cuando es obligatorio es multa Nivel 1 (hasta 10 M€ o 2% facturación global)
• Documente el resultado — los auditores lo pedirán

En nuestro ciclo de auditoría 2025, el 73% de las EIPD de PYME revisadas tenían al menos uno de estos defectos. Cada uno es sancionable de forma independiente.

• EIPD producida después de iniciarse el tratamiento (el Artículo 35 exige "previa al tratamiento")
• Riesgo evaluado sin metodología — "bajo/medio/alto" no basta; matriz probabilidad × gravedad documentada requerida
• Sin participación del DPD (Artículo 35(2) exige dictamen del DPD si está designado)
• Sin consulta a interesados cuando proceda (Artículo 35(9))
• Sin disparador de revisión — las EIPD deben revisarse cuando el riesgo cambia materialmente

Nuestra plantilla DOCX editable incluye las cuatro secciones, una matriz probabilidad × gravedad alineada con metodología ENISA, un mapeo al registro de actividades de tratamiento y un registro de riesgos conforme EDPB. La hemos usado en 80+ EIPDs PYME en España, Francia y Países Bajos sin rechazo de las autoridades.

• Formato: DOCX con cabeceras bloqueadas, bloques de contenido editables
• Incluye ejemplos precargados para RRHH, CCTV, analítica de marketing, scoring IA
• Alineada con criterios EDPB WP248 rev.01
• Descarga libre — sin cuenta requerida