Ir al contenido

Glosario empresarial

Evaluación de Impacto en Protección de Datos (EIPD / DPIA)

La Evaluación de Impacto en Protección de Datos (EIPD, o DPIA por sus siglas en inglés) es un proceso de análisis que deben realizar las organizaciones antes de iniciar determinados tratamientos de datos personales que puedan suponer un alto riesgo para los derechos y libertades de las personas. Está regulada en el artículo 35 del RGPD.

Digital

Qué es la EIPD

La Evaluación de Impacto en Protección de Datos (EIPD, o Data Protection Impact Assessment, DPIA) es un instrumento de gestión de riesgos que exige el artículo 35 del Reglamento General de Protección de Datos (RGPD). Su objetivo es identificar y minimizar los riesgos para los derechos y libertades de las personas físicas antes de que comience el tratamiento, no después.

La EIPD parte de la filosofía de privacy by design y de la responsabilidad proactiva (accountability): las organizaciones no deben esperar a que ocurra un incidente o a que la autoridad de control les requiera información, sino anticiparse a los riesgos y documentar que han tomado las medidas adecuadas.

Cuándo es obligatoria

El artículo 35.3 del RGPD establece que la EIPD es siempre obligatoria en los siguientes supuestos:

  1. Evaluación sistemática y exhaustiva de aspectos personales de personas físicas basada en tratamiento automatizado, incluida la elaboración de perfiles, que produce efectos jurídicos o que les afecta significativamente (por ejemplo, scoring crediticio, decisiones de contratación laboral basadas en IA)
  2. Tratamiento a gran escala de categorías especiales de datos (salud, biometría, datos genéticos, ideología, religión, etc.) o de datos relativos a condenas penales
  3. Observación sistemática a gran escala de zonas de acceso público (videovigilancia masiva)

La AEPD ha publicado listas orientativas de tipos de tratamientos que requieren EIPD. Aunque la lista no es exhaustiva, incluye: vigilancia de empleados mediante sistemas de seguimiento, aplicaciones de salud, plataformas educativas que tratan datos de menores, sistemas de reconocimiento facial o biométrico, y tratamientos que implican geolocalización continua.

Como regla general, si un tratamiento combina dos o más criterios de riesgo de los identificados por el Grupo de Trabajo del Artículo 29 (ahora Comité Europeo de Protección de Datos, CEPD), la EIPD es preceptiva.

Metodología de la EIPD

La EIPD no tiene un formato único exigido, pero el RGPD establece que debe contener:

  1. Descripción sistemática del tratamiento previsto, sus finalidades y el interés legítimo perseguido (si aplica)
  2. Evaluación de la necesidad y proporcionalidad del tratamiento respecto a sus finalidades
  3. Evaluación de los riesgos para los derechos y libertades de los interesados
  4. Medidas previstas para afrontar los riesgos, incluyendo garantías, medidas de seguridad y mecanismos para garantizar la protección de datos

La metodología más extendida valora cada riesgo en función de su probabilidad y su gravedad, obteniendo un nivel de riesgo residual tras la aplicación de los controles. Si el riesgo residual sigue siendo alto, el responsable debe consultar a la autoridad de control antes de iniciar el tratamiento (consulta previa, artículo 36 RGPD).

Rol del DPO en la EIPD

Cuando la organización cuenta con un DPO, el responsable del tratamiento debe recabar su asesoramiento en la realización de la EIPD (artículo 35.2 RGPD). El DPO supervisa el proceso, verifica la metodología y documenta su participación. Esto no exime al responsable de la obligación ni transfiere la responsabilidad al DPO.

Documentación y conservación

La EIPD debe documentarse y conservarse actualizada. Si el tratamiento cambia de forma sustancial (nuevos destinatarios, nuevas tecnologías, nuevos datos), la evaluación debe revisarse. La AEPD puede solicitar la EIPD en cualquier momento, especialmente en el contexto de una investigación o denuncia.

Consecuencias del incumplimiento

No realizar una EIPD cuando es obligatoria o realizarla defectuosamente constituye una infracción del RGPD sancionable con multas de hasta 10 millones de euros o el 2% del volumen de negocio mundial anual. Además, en caso de incidente de seguridad sobre un tratamiento que carecía de EIPD, la ausencia de esta evaluación agrava considerablemente la situación ante la autoridad de control.

Preguntas frecuentes

¿Cuándo es obligatoria una EIPD bajo el RGPD en España?
La EIPD es obligatoria cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas. El artículo 35.3 del RGPD siempre la exige para la elaboración de perfiles automatizada con efectos jurídicos significativos, el tratamiento a gran escala de categorías especiales de datos, y la videovigilancia sistemática de zonas de acceso público. La AEPD ha publicado una lista adicional de tipos de tratamientos que siempre requieren EIPD en España.
¿Qué tratamientos considera siempre la AEPD que requieren una EIPD?
La lista de la AEPD incluye el seguimiento de geolocalización de personas, la monitorización del comportamiento y la productividad de empleados, la combinación de datos de múltiples fuentes para crear perfiles individuales, el tratamiento de datos de salud o genéticos para fines no sanitarios, los sistemas de IA que toman decisiones automatizadas con efectos significativos, los sistemas de identificación biométrica, y el tratamiento a gran escala de datos de personas vulnerables.
¿Qué papel debe desempeñar el DPO en una EIPD según el RGPD en España?
El artículo 35.2 del RGPD obliga al responsable del tratamiento a recabar el asesoramiento del DPO cuando lleve a cabo una EIPD. El DPO no realiza la evaluación, pues esa responsabilidad es del responsable, pero debe ser consultado, aportar su expertise y supervisión, y tanto su asesoramiento como la respuesta del responsable deben quedar documentados como parte del expediente de la EIPD.
¿Cuándo debe una empresa española consultar a la AEPD antes de iniciar un tratamiento?
Cuando una EIPD concluye que quedan riesgos residuales altos tras aplicar todas las medidas de mitigación posibles, el responsable debe realizar una consulta previa a la AEPD antes de iniciar el tratamiento (artículo 36 del RGPD). La AEPD dispone de hasta 8 semanas para emitir asesoramiento escrito, prorrogables 6 semanas en casos complejos. La AEPD puede emitir recomendaciones o ejercer sus potestades de investigación.
¿Cómo interactúan el Reglamento de IA (AI Act) y las exigencias de EIPD para los sistemas de IA?
Las empresas que despliegan sistemas de IA que tratan datos personales generalmente deben realizar tanto una EIPD bajo el RGPD como una evaluación de conformidad bajo el AI Act. El AI Act introduce además sus propios requisitos de evaluación de impacto en los derechos fundamentales para sistemas de IA de alto riesgo utilizados por organismos públicos, que se solapan parcialmente con las obligaciones de la EIPD. Coordinar ambos procesos evita duplicidades y garantiza una cobertura integral.

Servicio relacionado

Legal

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Manufactura e Industrial

Términos relacionados

LOPD / RGPD (protección de datos) Delegado de Protección de Datos (DPO) protección datos Privacidad desde el Diseño (Privacy by Design) Reglamento de IA (AI Act)

Artículos relacionados

mar 2025

Sector salud: privacidad e IA en 2025

may 2025

Whitepaper: Protección de datos en la era del AI Act

nov 2024

Protección de datos y AI Act: puntos de intersección

ago 2023

Protección de datos e IA: nuevos retos legales

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto