EIPD: Evaluación de Impacto en Protección de Datos

La Evaluación de Impacto en la Protección de Datos (EIPD), conocida internacionalmente como DPIA (Data Protection Impact Assessment), es una herramienta del RGPD (Artículo 35) para evaluar y mitigar los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de las personas. No es un simple trámite: es un análisis riguroso que la AEPD exige antes de iniciar tratamientos de alto riesgo.

¿Cuándo es obligatoria?

El RGPD exige una EIPD cuando un tratamiento probablemente suponga un alto riesgo para los derechos y libertades de las personas físicas. Esto incluye:

Casos automáticos (siempre obligatoria)

1. Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (incluida la elaboración de perfiles) que produzca efectos jurídicos o afecte significativamente a las personas
2. Tratamiento a gran escala de categorías especiales de datos (salud, biometría, ideología, orientación sexual) o datos relativos a condenas penales
3. Observación sistemática a gran escala de una zona de acceso público (videovigilancia masiva)

Lista de la AEPD

La AEPD publicó una lista orientativa de tratamientos que requieren EIPD en España:

• Tratamientos que impliquen perfilado o scoring financiero
• Tratamientos de datos biométricos para identificación
• Tratamientos de geolocalización de empleados o clientes
• Tratamientos de datos de salud a gran escala
• Tratamientos de datos de menores a gran escala
• Tratamientos con tecnologías innovadoras (IA, IoT, blockchain para datos personales)
• Tratamientos que combinen múltiples fuentes de datos personales

Criterio de las "dos listas"

El Grupo de Trabajo del Artículo 29 (ahora EDPB) estableció 9 criterios. Si tu tratamiento cumple 2 o más, probablemente necesitas una EIPD:

1. Evaluación o scoring (incluido perfilado)
2. Toma de decisiones automatizadas con efectos legales
3. Monitorización sistemática
4. Datos sensibles o de naturaleza altamente personal
5. Datos tratados a gran escala
6. Cruce o combinación de conjuntos de datos
7. Datos de personas vulnerables (menores, empleados, pacientes)
8. Uso innovador de tecnología
9. Tratamientos que impiden ejercer un derecho o utilizar un servicio

Metodología paso a paso

Fase 1: Descripción del tratamiento

Documenta de forma exhaustiva:

• Naturaleza: cómo se recogen, almacenan y utilizan los datos
• Alcance: categorías de datos, volumen, ámbito geográfico
• Contexto: relación con los interesados, expectativas razonables
• Finalidad: objetivos del tratamiento

Fase 2: Evaluación de la necesidad y proporcionalidad

Verifica que el tratamiento es:

• Necesario: no existe alternativa menos intrusiva
• Proporcionado: los beneficios justifican la intrusión
• Tiene base legal: consentimiento, contrato, obligación legal, interés legítimo...
• Cumple los principios RGPD: minimización, exactitud, limitación temporal

Fase 3: Evaluación de riesgos

Para cada riesgo identificado, evalúa:

| Criterio | Escala | Descripción | |----------|--------|-------------| | Probabilidad | Baja / Media / Alta / Muy alta | ¿Qué tan probable es que ocurra? | | Impacto | Bajo / Medio / Alto / Muy alto | ¿Qué consecuencias tendría para los interesados? |

Categorías de riesgos habituales:

• Acceso no autorizado a datos personales
• Modificación no autorizada de datos
• Pérdida de disponibilidad de datos
• Discriminación basada en perfilado
• Pérdida de control sobre datos personales
• Daño reputacional para los interesados

Fase 4: Medidas de mitigación

Para cada riesgo alto o muy alto, define medidas concretas:

RIESGO: Acceso no autorizado a datos de salud
- Probabilidad: Alta (datos en cloud, múltiples usuarios)
- Impacto: Muy alto (datos sensibles de pacientes)

MEDIDAS DE MITIGACIÓN:
1. Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
2. Autenticación multifactor obligatoria
3. Control de acceso por roles con principio de mínimo privilegio
4. Registro de auditoría de todos los accesos
5. Formación específica al personal autorizado

RIESGO RESIDUAL: Medio (aceptable con medidas implementadas)

Fase 5: Documentación y consulta

• Documenta todo el proceso y las decisiones tomadas
• Si el riesgo residual sigue siendo alto → consulta previa a la AEPD obligatoria (Art. 36)
• Obtén la opinión del DPD si tu organización tiene uno
• Si implica a empleados, considera consultar a los representantes de los trabajadores

Herramienta FACILITA de la AEPD

La AEPD ofrece la herramienta FACILITA EIPD, una aplicación online gratuita que guía el proceso:

1. Describe el tratamiento mediante un formulario estructurado
2. La herramienta identifica automáticamente los riesgos potenciales
3. Sugiere medidas de mitigación
4. Genera un informe descargable

Es un buen punto de partida, especialmente para PYMES sin un DPD interno.

Errores comunes

Hacer la EIPD después de implementar el tratamiento. La EIPD es previa. Si ya has puesto en marcha el sistema, la evaluación pierde su sentido preventivo.

Evaluar solo riesgos técnicos. La EIPD debe cubrir también riesgos organizativos, legales y éticos.

No involucrar al DPD. Si tienes un DPD, su participación es obligatoria (Art. 35.2).

Considerar la EIPD como un ejercicio puntual. Si el tratamiento evoluciona (nuevos datos, nueva tecnología, nuevo proveedor), la EIPD debe revisarse.

No documentar las decisiones. "Lo evaluamos pero no lo escribimos" no vale ante la AEPD.

EIPD y tu sitio web

Tu sitio web puede requerir una EIPD si implementa:

• Sistemas de perfilado de usuarios (personalización basada en comportamiento)
• Análisis predictivo de clientes
• Tratamiento de datos biométricos (reconocimiento facial)
• Monitorización de empleados a través de herramientas web
• Procesamiento de datos de menores

WarDek te ayuda a evaluar los riesgos técnicos de tu sitio web como parte de la fase de evaluación de riesgos de tu EIPD.

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.