EIPD: Primera Línea de Defensa frente a Sanciones RGPD

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA, por sus siglas en inglés) es el instrumento de análisis de riesgos que el artículo 35 del RGPD exige realizar antes de iniciar cualquier tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas. El Comité Europeo de Protección de Datos ha identificado nueve criterios que activan la obligación — entre ellos la toma de decisiones automatizada, el tratamiento de datos biométricos, la observación sistemática y el uso de nuevas tecnologías — y la AEPD ha publicado su propia lista de tratamientos que siempre requieren EIPD en España. Cuando, tras aplicar las medidas de mitigación, el riesgo residual sigue siendo alto, el responsable del tratamiento debe consultar a la AEPD antes de iniciar el tratamiento; la omisión de esta consulta previa obligatoria constituye una infracción grave sancionable con multas de hasta 20 millones de euros o el 4% de la facturación global.

EIPD obligatoria: cuando la ausencia puede costar hasta 20 millones de euros

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA) es una de las obligaciones del RGPD que la AEPD sanciona con mayor severidad. Muchas empresas desconocen cuando aplica la obligación o la realizan con plantillas genericas que no superarian una inspección. Un tratamiento de alto riesgo sin EIPD válida expone a la empresa a multas de hasta 20 millones de euros o el 4% de la facturación global. Los supuestos más frecuentes: sistemas de videovigilancia a gran escala, herramientas de IA para toma de decisiones sobre personas, tratamientos de datos de salud, y perfilado de comportamiento para marketing.

Realizar una EIPD de baja calidad — con análisis de riesgos generico y medidas de mitigacion estándar — no protege a la empresa: la AEPD puede exigirla en cualquier momento y su insuficiencia genera responsabilidad equivalente a no haberla realizado.

Metodología AEPD para evaluaciones de impacto rigurosas

Nuestro equipo aplica la metodología de la guía práctica de la AEPD, que es la referencia que la autoridad utiliza en sus inspecciones. Analizamos la necesidad y proporcionalidad del tratamiento, mapeamos los riesgos para los interesados con valoración específica de probabilidad e impacto, y diseñamos medidas de mitigacion concretas y verificables. Cuando el riesgo residual sigue siendo alto tras aplicar todas las medidas disponibles, gestionamos la consulta previa obligatoria con la AEPD.

La EIPD tiene especial relevancia en el desarrollo de nuevos productos digitales y sistemas de IA: trabajamos con los equipos de producto y tecnología para realizarla en la fase de diseño, cuando los cambios de arquitectura son fáciles, no después del lanzamiento cuando son costosos. Esta integración con privacidad desde el diseño es el enfoque más eficiente.

Contexto regulatorio en España: artículo 35 RGPD y lista AEPD

El artículo 35 del RGPD establece la obligación de EIPD y los nueve criterios que la activan según el Comité Europeo de Protección de Datos. La AEPD ha publicado su propia lista de tratamientos que siempre requieren EIPD en España, incluyendo videovigilancia a gran escala, datos biométricos para identificación, datos de salud a gran escala y sistemas de perfilado para publicidad comportamental.

La EIPD se superpone con la evaluación de conformidad del AI Act para sistemas de IA de alto riesgo: cuando un sistema de IA trata datos personales, ambas evaluaciones deben realizarse de forma integrada. Un DPO externalizado con experiencia en ambos marcos garantiza coherencia y evita duplicaciones costosas.

Resultados que puedes esperar

• Determinación clara de si el tratamiento requiere EIPD con análisis jurídico documentado
• Informe EIPD completo conforme al artículo 35.7 RGPD y la metodología de la AEPD
• Valoración específica de riesgos para los interesados con probabilidad e impacto cuantificados
• Medidas de mitigacion concretas y verificables, no estándar genericas
• Gestión de la consulta previa con la AEPD cuando el riesgo residual no puede reducirse
• Documentación que resiste una inspección de la AEPD: 100% de consultas previas resueltas favorablemente

El artículo 35 del RGPD establece la obligación de realizar una EIPD antes de iniciar cualquier tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas.

La calidad de una EIPD se mide por la profundidad del análisis de riesgos, no por el volumen de la documentación. Una EIPD que se limita a listar riesgos genericos sin valorar probabilidad ni impacto específico, o que propone medidas de mitigacion estándar sin verificar que efectivamente reducen el riesgo en el contexto concreto del tratamiento, no es una EIPD válida a ojos de la AEPD. Nuestro equipo aplica la metodología estructurada de la guía práctica de la autoridad y documenta el razonamiento de cada valoración, de forma que el informe resiste un escrutinio externo.

La EIPD tiene especial relevancia en el desarrollo de nuevos productos digitales y en la adopción de sistemas de inteligencia artificial. Trabajamos con los equipos de producto y tecnología para realizar la evaluación en la fase de diseño, antes de que se hayan tomado decisiones técnicas irreversibles. Este enfoque de privacidad desde el diseño es mucho más eficiente que realizar la EIPD una vez que el sistema ya está en producción y las medidas de mitigacion requieren cambios técnicos costosos.

Cuando el riesgo residual no puede reducirse a un nivel aceptable tras aplicar todas las medidas disponibles, gestionamos la consulta previa con la AEPD, un procedimiento que muchos responsables del tratamiento desconocen pero que el RGPD impone como condición para poder continuar con el tratamiento. La consulta previa, bien documentada y con un expediente técnico riguroso, es una oportunidad para obtener el aval de la autoridad antes del lanzamiento y reduce significativamente la exposición sancionadora posterior.

EIPD e inteligencia artificial: la evaluación que se superpone con el AI Act

La intersección entre el RGPD y el AI Act europeo es uno de los puntos de mayor complejidad para las empresas que despliegan sistemas de inteligencia artificial que tratan datos personales. El AI Act impone su propia evaluación de conformidad para los sistemas de IA de alto riesgo (Anexo III del Reglamento), que incluye la documentación técnica, el sistema de gestión de la calidad, el registro en la base de datos de la Comisión Europea y la evaluación periódica. Cuando este sistema de IA de alto riesgo también trata datos personales —lo que es frecuente en los sistemas de selección de personal, análisis de riesgo crediticio, sistemas de salud o videovigilancia inteligente— el responsable del tratamiento debe cumplir simultáneamente con la EIPD del RGPD y con la evaluación de conformidad del AI Act.

Nuestro equipo realiza estas evaluaciones de forma integrada para evitar duplicidades y maximizar la cobertura regulatoria. Coordinamos con el servicio de cumplimiento del AI Act y el de gobernanza de IA para que el sistema de documentación sea coherente entre ambas normas y el responsable del tratamiento pueda presentar un expediente unificado ante la AEPD y ante la autoridad de supervisión del AI Act.

Los nueve criterios del CEPD que activan la obligación de EIPD

El Comité Europeo de Protección de Datos (CEPD) ha establecido nueve criterios cuya presencia activa la obligación de EIPD. Cuando concurren dos o más de ellos, la evaluación es obligatoria:

1. Evaluación o puntuación de personas físicas, incluido el perfilado
2. Toma de decisiones automatizada con efectos legales o similares
3. Observación sistemática de personas en espacios de acceso público
4. Datos sensibles (salud, ideología, datos biométricos, financieros)
5. Datos de menores de edad
6. Tratamiento a gran escala de cualquier categoría de datos
7. Combinación o cruce de conjuntos de datos de distintas fuentes
8. Transferencia fuera del EEE sin garantías adecuadas
9. Uso de tecnologías innovadoras no evaluadas previamente

La AEPD ha publicado además su propia lista de tratamientos que siempre requieren EIPD en España, con independencia del número de criterios concurrentes. Si su empresa opera en sectores como salud, banca, insurtech, adtech o recursos humanos, es muy probable que tenga tratamientos que requieran EIPD y que aún no hayan sido identificados. Nuestro equipo puede realizar en pocas horas un mapa de tratamientos con indicación de cuáles requieren EIPD, como primer paso antes de planificar las evaluaciones.

Estructura de una EIPD según las directrices del GT29 y la AEPD

La metodología para realizar una Evaluación de Impacto en Protección de Datos (EIPD) está establecida por las directrices del Grupo de Trabajo del Artículo 29 (GT29, ahora CEPD), adoptadas como referencia por la AEPD. Una EIPD completa y sólida ante una inspección debe incluir los siguientes elementos:

1. Descripción sistemática del tratamiento. Descripción detallada de la finalidad del tratamiento, la base jurídica, las categorías de datos tratados y sus fuentes, las categorías de interesados afectados, los destinatarios de los datos (incluyendo transferencias internacionales), los plazos de conservación y las medidas técnicas y organizativas existentes. Esta descripción no puede limitarse a un párrafo genérico: debe reflejar el tratamiento real con el nivel de detalle suficiente para evaluar su riesgo.

2. Evaluación de la necesidad y proporcionalidad. Análisis de si el tratamiento es necesario y proporcional a la finalidad perseguida, si existe una base jurídica válida, si los datos recogidos son los mínimos necesarios (minimización), y si la finalidad del tratamiento es compatible con la finalidad original de recogida de los datos.

3. Identificación y valoración de riesgos. Identificación de los riesgos para los derechos y libertades de los interesados derivados del tratamiento (acceso ilegítimo, modificación no autorizada, supresión accidental), valoración de su probabilidad e impacto, y determinación del nivel de riesgo inherente. La valoración debe ser objetiva y documentada, no simplemente declaratoria.

4. Medidas para mitigar los riesgos. Para cada riesgo identificado: medidas técnicas y organizativas específicas para reducir su probabilidad o impacto, evaluación del nivel de riesgo residual tras las medidas, y conclusión motivada sobre la aceptabilidad del riesgo residual. Si el riesgo residual es elevado, debe consultarse a la AEPD antes de iniciar el tratamiento.

5. Consulta al DPO y, en su caso, a los interesados. El DPO debe ser consultado durante la realización de la EIPD y sus recomendaciones deben quedar documentadas. Para ciertos tratamientos que afectan a colectivos específicos (empleados, menores, pacientes), puede ser conveniente o necesario consultar a representantes de los interesados.

Errores frecuentes en las EIPDs

1. Realizar la EIPD después de que el tratamiento ya esté activo. El artículo 35 del RGPD exige que la EIPD se realice “con anterioridad al tratamiento”. Una EIPD retrospectiva puede identificar riesgos que el tratamiento ya ha materializado, sin que se pueda corregir el daño causado a los interesados.

2. Confundir el registro de actividades de tratamiento con la EIPD. El RAT describe los tratamientos; la EIPD evalúa su impacto en los derechos de los interesados. Son documentos distintos con finalidades distintas. Un RAT completo no sustituye a una EIPD.

3. No actualizar la EIPD cuando el tratamiento cambia. Si las finalidades, los datos tratados, los sistemas informáticos o las medidas de seguridad cambian significativamente, la EIPD debe revisarse y actualizarse. Una EIPD estática realizada hace tres años no cubre los riesgos introducidos por un nuevo sistema de IA implementado recientemente.

La EIPD como elemento de defensa ante la AEPD

La Evaluación de Impacto en Protección de Datos no es solo una obligación regulatoria: es también un elemento de defensa en los procedimientos sancionadores de la AEPD. El artículo 83.2.d) del RGPD establece que la existencia de medidas adoptadas para atenuar el daño sufrido es un factor a considerar para determinar la cuantía de la sanción. La AEPD ha aplicado este criterio para reducir sanciones en casos en que la organización podía acreditar que había realizado una EIPD y había implementado la mayor parte de las medidas identificadas en ella, aunque no todas.

En sectores como la salud, los recursos humanos o el sector financiero, donde los tratamientos de datos de alto riesgo son la norma, mantener un inventario actualizado de EIPDs realizadas, con sus revisiones periódicas y las medidas de mitigación implementadas, es el elemento que diferencia a las organizaciones que gestionan el riesgo regulatorio de las que simplemente reaccionan ante él. Nuestro servicio de DPO externo integra la gestión del inventario de EIPDs como parte de la función continua de supervisión del cumplimiento del RGPD.