La Evaluación de Impacto en la Protección de Datos (EIPD, o DPIA por sus siglas en inglés: Data Protection Impact Assessment) es uno de los instrumentos más potentes —y más frecuentemente ignorados— del Reglamento General de Protección de Datos (RGPD). Su función no es burocrática: es identificar y mitigar riesgos reales para las personas físicas antes de que un tratamiento de datos entre en operación. Cuando es obligatoria, omitirla expone a la organización a sanciones que la Agencia Española de Protección de Datos (AEPD) puede imponer de hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial. Pero más allá de la sanción, realizar bien una EIPD convierte un requisito legal en una herramienta real de gobierno del dato.
¿Qué es exactamente una EIPD?
El artículo 35 del RGPD define la evaluación de impacto relativa a la protección de datos como un proceso sistemático que el responsable del tratamiento debe llevar a cabo antes de iniciar operaciones que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas. No se trata de un formulario que se rellena una vez: es un análisis documentado que identifica la naturaleza del tratamiento, los riesgos específicos y las medidas técnicas y organizativas que se van a adoptar para reducirlos a un nivel aceptable.
La EIPD es distinta del Registro de Actividades de Tratamiento (RAT) y del análisis de riesgos genérico de seguridad. Mientras el RAT inventaría qué se hace con los datos, la EIPD analiza el impacto potencial sobre los individuos cuando ese «qué» presenta características de alto riesgo. El DPO (Delegado de Protección de Datos), si existe, debe ser consultado en el proceso y su dictamen debe quedar registrado.
¿Cuándo es obligatoria la EIPD? Las tres reglas del artículo 35
El artículo 35.1 del RGPD establece la obligación cuando un tipo de tratamiento «entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas». El propio Reglamento lista tres supuestos que la activan automáticamente (artículo 35.3):
- Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o similares en las personas (decisiones de contratación, crédito, seguros…).
- Tratamiento a gran escala de categorías especiales de datos (salud, ideología, origen étnico, orientación sexual, etc.) o de datos relativos a condenas e infracciones penales.
- Observación sistemática a gran escala de una zona de acceso público (videovigilancia, rastreo de ubicación en espacios públicos, etc.).
Fuera de estos tres supuestos, el RGPD añade que siempre que el tratamiento sea probable que entrañe alto riesgo, la EIPD es igualmente obligatoria. Para concretar esto, el Grupo de Trabajo del Artículo 29 (hoy Comité Europeo de Protección de Datos, CEPD) publicó en 2017 las directrices WP248, revisadas en 2018, con nueve criterios clave: si un tratamiento cumple dos o más de ellos, se recomienda realizar la EIPD. Los criterios son: evaluación o puntuación; toma de decisiones automatizadas con efectos legales; observación sistemática; datos sensibles o altamente personales; datos de personas vulnerables (menores, pacientes, empleados); tratamiento a gran escala; combinación o comparación de conjuntos de datos; nuevas tecnologías o usos novedosos; y tratamiento que impide a las personas ejercer un derecho o utilizar un servicio.
Además, la AEPD publicó en 2019 su lista de tratamientos que requieren EIPD (obligatoria según el artículo 35.4 del RGPD, que exige a las autoridades de control publicar y mantener esas listas). Esta lista española incluye, entre otros: tratamientos de categorías especiales de datos a gran escala, perfilado de clientes con finalidades de marketing, videovigilancia en espacios públicos, geolocalización masiva de empleados, y tratamientos que combinen datos de fuentes diversas para crear perfiles biométricos o de comportamiento.
Supuestos habituales en una pyme española
Las pymes tienden a creer que la EIPD es cosa de grandes corporaciones. Es un error. Estos son escenarios frecuentes en empresas medianas en los que la EIPD es exigible o muy recomendable:
- Implantación de un sistema de control horario biométrico (huella dactilar o reconocimiento facial) para los empleados.
- Uso de herramientas de monitorización del puesto de trabajo (capturas de pantalla, registro de teclado, control de navegación web del empleado).
- Incorporación de un sistema de videovigilancia con cámaras que cubren zonas de acceso público o con retención prolongada de imágenes.
- Tratamiento de datos de salud de pacientes o usuarios (clínicas, farmacias, mutuas, empresas de salud laboral).
- Elaboración de perfiles comerciales mediante combinación de datos de comportamiento, localización y preferencias para segmentación avanzada.
- Implantación de un sistema de IA para la selección de personal que puntúe o filtre automáticamente candidaturas.
- Uso de plataformas de lead scoring o credit scoring con decisiones automatizadas que afectan al acceso a servicios.
Tabla comparativa: ¿cuándo es obligatoria y cuándo recomendable?
| Tipo de tratamiento | ¿EIPD obligatoria? | Fundamento | Riesgo si se omite |
|---|---|---|---|
| Videovigilancia en espacio público a gran escala | Sí | Art. 35.3.c RGPD + Lista AEPD | Sanción hasta 10 M€ o 2 % facturación |
| Perfilado automatizado con efectos jurídicos | Sí | Art. 35.3.a RGPD | Sanción + prohibición del tratamiento |
| Tratamiento de datos de salud a gran escala | Sí | Art. 35.3.b RGPD | Sanción + reputación |
| Control horario biométrico de empleados | Sí | Lista AEPD 2019 + CEPD WP248 | Sanción + nulidad del tratamiento |
| IA para selección de personal (scoring) | Sí (≥ 2 criterios WP248) | CEPD WP248 rev. 2018 | Sanción + riesgo AI Act |
| Marketing personalizado con combinación de fuentes | Recomendable (evaluar criterios) | CEPD WP248 criterio 7 + 8 | Riesgo de sanción si supera umbral |
| Monitorización de empleados en teletrabajo | Sí en la mayoría de casos | Lista AEPD + criterio 8 WP248 | Sanción + conflicto laboral |
| Envío de newsletter a base de clientes propia | No (bajo riesgo, finalidad compatible) | Art. 35.1 RGPD (no hay alto riesgo) | No aplica |
Cómo se realiza una EIPD paso a paso
La EIPD no tiene un formato único obligatorio, pero el CEPD y la propia AEPD han publicado metodologías de referencia. El proceso habitual consta de seis fases:
1. Descripción sistemática del tratamiento
Se documenta con precisión qué datos se recogen, con qué finalidad, quién los procesa, durante cuánto tiempo se conservan, si se ceden o transfieren internacionalmente y qué medidas de seguridad ya están implantadas. Esta fase conecta directamente con el Registro de Actividades de Tratamiento.
2. Evaluación de la necesidad y proporcionalidad
Se analiza si el tratamiento es necesario para la finalidad declarada y si no existe una alternativa menos intrusiva. La minimización de datos (artículo 5.1.c RGPD) es un principio que debe quedar acreditado en esta fase.
3. Identificación y valoración de riesgos
Se determinan las amenazas concretas —acceso no autorizado, pérdida de datos, uso fraudulento, discriminación algorítmica, etc.— y se valora su probabilidad e impacto sobre los derechos de las personas. Muchas organizaciones utilizan matrices de riesgo similares a las de seguridad de la información (como las de ISO 27005), pero orientadas al individuo, no a la organización.
4. Medidas para tratar los riesgos
Se definen los controles técnicos (cifrado, seudonimización, acceso con mínimo privilegio, auditoría de accesos) y organizativos (formación, cláusulas contractuales con encargados, procedimientos de respuesta a incidentes) que se van a implantar, y se valora si los riesgos residuales son aceptables.
5. Dictamen del DPO y consulta previa a la AEPD (si procede)
Cuando la organización tiene DPO designado, su consulta es obligatoria (artículo 35.2 RGPD) y su opinión —y si fue seguida o no— debe quedar documentada. Si tras aplicar las medidas el riesgo residual sigue siendo alto, el artículo 36 RGPD obliga a realizar una consulta previa a la autoridad de control (la AEPD en España) antes de iniciar el tratamiento. La AEPD dispone de un plazo de hasta ocho semanas —prorrogable seis semanas más en casos complejos— para responder.
6. Documentación, aprobación y revisión periódica
La EIPD debe quedar documentada, aprobada formalmente por el responsable del tratamiento y revisada cuando se produzcan cambios relevantes en el tratamiento o cuando surjan nuevos riesgos. No es un documento que se archiva y se olvida.
EIPD y AI Act: la convergencia regulatoria que llega en 2025-2026
Desde agosto de 2024, el Reglamento de Inteligencia Artificial de la UE (AI Act) está en vigor y su despliegue por fases alcanza a las organizaciones usuarias de sistemas de IA de alto riesgo a partir de agosto de 2026. Muchos de esos sistemas —los que se utilizan en RRHH, crédito, educación o servicios esenciales— implican tratamiento de datos personales, por lo que la EIPD y la evaluación de conformidad del AI Act se solapan en gran medida. La AEPD ya ha publicado criterios de alineación entre ambas obligaciones para evitar la duplicación de esfuerzos: un mismo documento puede servir para cumplir parcialmente los requisitos de ambos reglamentos si está bien estructurado.
Para las pymes que están implantando herramientas de IA en procesos que afectan a personas —selección de personal, scoring de crédito, sistemas de recomendación— es esencial abordar la EIPD antes de la puesta en producción, no después. Si tu empresa está evaluando el cumplimiento del AI Act, en nuestro servicio de adecuación al AI Act abordamos conjuntamente ambas evaluaciones.
EIPD vs. análisis de riesgos de seguridad: diferencias clave
Es frecuente confundir la EIPD con el análisis de riesgos de seguridad de la información que exige la ISO 27001 o el ENS. Son instrumentos complementarios pero distintos:
- El análisis de riesgos de seguridad protege a la organización frente a amenazas (brechas, indisponibilidad, pérdida de confidencialidad de información corporativa).
- La EIPD protege a las personas físicas frente a los efectos que el tratamiento puede tener sobre sus derechos y libertades (discriminación, pérdida de control sobre sus datos, daño reputacional, perjuicio económico).
Dicho esto, una buena EIPD se apoya necesariamente en el inventario de activos y la clasificación de amenazas del análisis de seguridad. Las organizaciones que ya tienen implantado un SGSI conforme a ISO 27001 tienen gran parte del trabajo hecho.
El papel del DPO externo en la EIPD
Las organizaciones que no tienen DPO designado —porque no están obligadas o porque aún no lo han implementado— suelen carecer de la metodología y el criterio técnico para abordar una EIPD con rigor. Un DPO externo especializado aporta tres cosas concretas: (1) experiencia en identificar si el tratamiento supera o no el umbral de alto riesgo, (2) metodología documentada que resiste un eventual escrutinio de la AEPD, y (3) independencia para emitir un dictamen imparcial sobre los riesgos residuales.
Si necesitas apoyo para gestionar tu EIPD o para determinar si tus tratamientos de datos exigen una, en Summum Consultoría llevamos desde 2007 acompañando a empresas en su adecuación al RGPD. Puedes conocer más en nuestro servicio de adecuación RGPD y protección de datos.
Preguntas frecuentes
¿Cuánto tiempo lleva realizar una EIPD?
Depende de la complejidad del tratamiento. Una EIPD para un sistema de videovigilancia estándar puede completarse en dos o tres semanas con la documentación adecuada. Una EIPD para un sistema de IA que procesa datos de salud o toma decisiones automatizadas puede requerir entre cuatro y ocho semanas, especialmente si implica consulta previa a la AEPD. El factor que más alarga el proceso no es el análisis en sí, sino la recopilación de información interna (flujos de datos, contratos con encargados, medidas técnicas ya implantadas).
¿La EIPD tiene que publicarse?
No. El artículo 35 del RGPD no impone la publicación de la EIPD, aunque el Considerando 93 señala que «en su caso» el responsable puede publicar el resumen o la totalidad del documento. Lo que sí es obligatorio es que la EIPD esté disponible para la autoridad de control si la solicita durante una inspección. Internamente, debe ser accesible para el DPO y para el equipo responsable del tratamiento.
¿Qué pasa si se inicia un tratamiento sin realizar la EIPD obligatoria?
La omisión de una EIPD exigible constituye una infracción grave del artículo 83.4 del RGPD, con sanciones de hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial (la cifra mayor de las dos). Además, la AEPD puede ordenar la suspensión del tratamiento hasta que la evaluación se complete y los riesgos se gestionen. En 2023 y 2024 la AEPD ha impuesto varias sanciones específicamente por ausencia de EIPD en tratamientos de datos biométricos y de videovigilancia avanzada.
¿Es necesario repetir la EIPD si el tratamiento no cambia?
El artículo 35.11 del RGPD indica que el responsable debe «verificar» si el tratamiento se realiza conforme a la evaluación y, en particular, si los riesgos han cambiado. No existe un plazo fijo obligatorio para la revisión, pero el CEPD recomienda revisar la EIPD cuando se produzcan cambios en el tratamiento (nuevos datos, nueva tecnología, nuevos destinatarios), cuando aparezcan nuevas amenazas conocidas, y en todo caso con periodicidad máxima de tres años para tratamientos continuos de alto riesgo. Si el tratamiento no cambia y el entorno de riesgo tampoco, no es necesario rehacerla desde cero: basta con documentar la revisión y confirmar que los controles siguen siendo adecuados.