EIPD, LA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS
Contenidos
¿Qué es la EIPD?
La Evaluación de Impacto (EIPD) es una herramienta con carácter preventivo que debe ser utilizada por ti como el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento, con el objetivo de garantizar los derechos y libertades de las personas físicas. Si lo vemos desde el punto de vista práctico, el objetivo de la EIPD es determinar el nivel de riesgos que entraña un tratamiento con la finalidad de establecer medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.
¿Qué mide una Evaluación de Impacto de Protección de Datos?
La evaluación de impacto de protección de datos se puede medir utilizando la naturaleza, el ámbito, el contexto y los fines del tratamiento para poder valorar la particular gravedad y probabilidad del alto riesgo. La evaluación de impacto incluirá, en particular, las medidas, garantías y mecanismos previstos para:
- Mitigar el riesgo
- Garantizar la protección de los datos personales
- Demostrar la conformidad con el RGPD
Por tanto, la EIPD será un instrumento importante para la rendición de cuentas, ya que te ayudará, como responsable, a no sólo cumplir con los requisitos del RGPD, sino también a demostrar que has tomado medidas adecuadas para garantizar su cumplimiento. Es importante que como responsables del tratamiento de datos personales tengas en cuenta que el incumplimiento de los requisitos de la EIPD puede dar lugar a la imposición de multas por parte de la autoridad de control competente, que se concretaría en una multa administrativa de hasta 10 millones EUR o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía siempre.
Este incumplimiento se concreta en:
- No llevar a cabo una EIPD cuando el tratamiento requiere una evaluación de este tipo
- Llevar a cabo una EIPD de forma incorrecta
- No consultar a la autoridad de control competente cuando sea necesario

¿Cuándo es obligatorio la EIPD?
Debes saber que la EIPD debe iniciarse tan pronto como sea posible en el diseño de la operación de tratamiento, incluso aunque algunas de las operaciones de tratamiento no se conozcan aún, y debe actualizarse a lo largo del proyecto de ciclo de vida. Es decir, si planteas iniciar un nuevo tratamiento en tu empresa debes analizar o buscar orientación especializada sobre ese nuevo tratamiento, y analizar los posibles riesgos e impacto de los mismos.
El seguimiento de la evolución y comportamiento de esos datos desde sus inicios y a través de todo el ciclo de vida lo que hará es garantizar la protección de los datos y la intimidad y propiciará la creación de soluciones que fomenten el cumplimiento. Es importante repetir pasos concretos de la EIPD a medida que avance el proceso de desarrollo debido a que la selección de determinadas medidas técnicas u organizativas puede afectar a la gravedad o probabilidad de los riesgos que suponga el tratamiento y entonces es necesario replantearse otras diferentes. Si llevas a cabo una evaluación de impacto, las medidas que implementen deben ser evaluadas y lo más posible es que sufran cambios, para hacer que el riesgo sea lo más aceptable posible.
Una evaluación de impacto debe realizarse siempre antes de iniciar el tratamiento, pero no resulta obligatorio hacerlo en todas las operaciones de tratamiento, sino sólo cuando puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas.
En aquellos casos en los que no esté claro si se requiere una evaluación de impacto, siempre se recomienda realizarla ya que esta evaluación representa un instrumento práctico para ayudarte como responsable del tratamiento a cumplir la legislación de protección de datos.
Si has leído otros artículos nuestros sabrás que, aunque soy abogada, no me gusta estar mencionando mucho las leyes. Pero en el caso de la EIPD debes saber que el artículo 35 del RGPD establece que las autoridades de control establecerán y publicarán una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos personales.
¿Quién debe realizar una EIPD?
1. Evaluación o puntuación
Incluida la elaboración de perfiles y la predicción, especialmente de aspectos relacionados con:
- el rendimiento en el trabajo
- la situación económica
- la salud
- las preferencias o intereses personales
- la fiabilidad o el comportamiento
- la situación o los movimientos del interesado.
Por ejemplo, un banco que investigue a sus clientes en una base de datos de crédito o en una base de datos contra el blanqueo de capitales y la financiación del terrorismo o sobre fraudes.
Otro ejemplo puede ser un hospital antes de poner en funcionamiento una nueva base de datos de información sanitaria con los datos sobre la salud de sus pacientes.
Además puedes verlo más claro en una empresa que elabora perfiles de comportamiento o de mercadotecnia basados en el uso o navegación en su sitio web.
2. Evaluación o puntuación automatizada con efecto jurídico significativo o similar
Tratamiento destinado a tomar decisiones sobre los interesados que produce efectos jurídicos vinculantes o que les afecta significativamente de modo similar.
Para que lo aterrices mejor te pondré un ejemplo: un tratamiento que pueda provocar exclusión o discriminación contra las personas.
3. Observación sistemática
En este tercer supuesto será necesario EIPD para un tratamiento que se usa para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a través de redes u observación sistemática de una zona de acceso público. Este tipo de observación representa un criterio porque los datos personales pueden recogerse en circunstancias en las que los interesados pueden no ser conscientes de quién está recopilando sus datos y cómo los va a utilizar. Además, puede resultar imposible para las personas evitar ser objeto de este tipo de tratamiento en espacios públicos.
4. Datos sensibles o datos muy personales
Aquí te pongo como ejemplo de datos sensibles: un hospital general que guarda historiales médicos de pacientes. Otro ejemplo puede ser un investigador privado que guarda datos de delincuentes.
5. Tratamiento de datos a gran escala
Se debe tener en cuenta:
- El número de interesados afectados
- El volumen de datos
- Duración de la actividad de tratamiento
- El alcance geográfico
6. Asociación o combinación de conjuntos de datos
7. Datos relativos a interesados vulnerables
8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas
9. Cuando el tratamiento impida a una persona física ejercer un derecho, utilizar un servicio o ejecutar un contrato

¿Quién no está obligado a realizar una Evaluación de Impacto en Protección de Datos?
Para responder a esta pregunta nos debemos ir a lo establecido en el RGPD, donde dice que no será obligatorio realizar una evaluación de impacto en los siguientes casos:
- En caso que no sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas según lo establece el (artículo 35, apartado 1);
- En los casos que la naturaleza, el alcance, el ámbito, el contexto y los fines del tratamiento sean muy similares al tratamiento para el que se ha realizado una EIPD previa.
- En caso de formar parte del listado de criterios de los casos en que no es necesario realizar una evaluación de impacto, según establece el artículo 35.5.
“Queda excluida de esta obligación cualquier tratamiento de datos en los que estos no sean de carácter personal, ahora bien, como medida de precaución en relación a preservar los derechos de los ciudadanos, se ha de considerar el concepto de “dato de carácter personal” establecido en el RGPD de una forma extensiva, es decir, se ha de considerar que se trata de datos de carácter personal por defecto y no asumir, a priori, que no se pueda dar dicha categoría a los datos tratados”.
Entre los casos que no es necesario realizar una EIPD están:
- Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD.
- Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión o las Autoridades de Control, en particular la AEPD.
- Tratamientos estrictamente necesarios para el cumplimiento de una obligación legal o cumplimiento de una misión realizada en interés público, siempre que en el mismo mandato legal no se obligue a realizar una EIPD o ya se haya realizado la evaluación de impacto con el fin de determinar la base jurídica del tratamiento.
- Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados.
- Tratamientos realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, nunca de los datos de los clientes.
- Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
- Tratamientos realizados sobre los datos de sus asociados, y en el ejercicio de su labor, por colegios profesionales y asociaciones sin ánimo de lucro, siempre que no incluyan en el tratamiento datos sensibles.
Fases a la hora de realizar una Evaluación de Impacto de Protección de Datos
Antes de iniciar una EIPD es importante identificar las personas que deben intervenir en la realización de una EIPD y las fases de la misma. Debes tener en cuenta que:
- El responsable del tratamiento es responsable de que en la evaluación de impacto se realice la descripción del ciclo de vida de los datos, se analice la necesidad y proporcionalidad del tratamiento, se identifiquen amenazas y riesgos, se evalúen y traten los riesgos y se elabore el plan de acción y conclusiones, pero además será también el responsable de rendir cuentas sobre su ejecución, aunque no necesariamente es quién debe elaborarlo.
- El delegado de protección de datos será a quien se deba consultar e informar de la realización de todas las tareas.
- El encargado del tratamiento será consultado en todas ellas.
- Otras áreas relevantes del negocio también podrán ser consultadas en todas las fases menos en la correspondiente a la identificación de riesgos y su tratamiento.
El modelo de evaluación de impacto consta de cinco fases, entre las que están:
- Análisis preliminar
- Contexto
- Gestión de riesgos
- Conclusión y validación
- Supervisión
Necesidad de la EIPD
Primeramente tienes que hacer un análisis preliminar de dicho tratamiento con la finalidad de conocer si tiene estás obligado a realizar una EIPD. Es la parte que se corresponde en el diagrama con el análisis de la necesidad de realizar una Evaluación de Impacto de Protección de Datos, y lo más importante es que en esta fase se está ante un análisis a realizar antes de comenzar a cumplimentar una herramienta de EIPD.
Descripción del proyecto y los flujos de información
Se ofrece una descripción sistemática del tratamiento
- o se tienen en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento
- o se registran los datos personales, los destinatarios y el período durante el cual se conservarán dichos datos
- o se ofrece una descripción funcional de la operación de tratamiento
- o se identifican los medios de los que dependen los datos personales (hardware, software, redes, personas, papel o canales de transmisión del papel)
- o se tiene en cuenta el cumplimiento de los códigos de conducta aprobados
Se evalúan la necesidad y la proporcionalidad
- o se determinan las medidas previstas para cumplir el Reglamento, teniendo en cuenta las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
- fines determinados, explícitos y legítimos
- legalidad del tratamiento
- datos adecuados, pertinentes y limitados a lo necesario
- duración limitada de la conservación
- medidas que contribuyen a los derechos de los interesados
- información facilitada al interesado
- derecho de acceso y a la portabilidad de los datos
- derecho de rectificación y de supresión
- derecho de oposición y a la limitación del tratamiento
- relaciones con los encargados del tratamiento
- garantías concurrentes en las transferencias internacionales
- consulta previa
Se gestionan los riesgos para los derechos y libertades de los interesados
- Se aprecian el origen, la naturaleza, la particularidad y la gravedad de los riesgos o, más concretamente, de cada riesgo (acceso ilegítimo, modificación no deseada y desaparición de datos) desde la perspectiva de los interesados
- se tienen en cuenta los orígenes de los riesgos
- se identifican efectos posibles sobre los derechos y libertades de los interesados en caso de que se produzcan hechos que incluyan el acceso ilegítimo, la modificación no deseada o la desaparición de datos
- se identifican las amenazas que pueden provocar el acceso ilegítimo, la modificación no deseada o la desaparición de datos
- se estiman la probabilidad y la gravedad
- Se determinan las medidas previstas para tratar esos riesgos
Participan las partes interesadas
- o se determinan las medidas previstas para cumplir el Reglamento, teniendo en cuenta las medidas que contribuyen a la proporcionalidad y la necesidad del tratamiento sobre la base de:
- fines determinados, explícitos y legítimos
- legalidad del tratamiento
- datos adecuados, pertinentes y limitados a lo necesario
- duración limitada de la conservación
- medidas que contribuyen a los derechos de los interesados
- información facilitada al interesado
- derecho de acceso y a la portabilidad de los datos
- derecho de rectificación y de supresión
- derecho de oposición y a la limitación del tratamiento
- relaciones con los encargados del tratamiento
- garantías concurrentes en las transferencias internacionales
- consulta previa
Identificación de los riesgos que afecten a la privacidad
Se debe valorar el conjunto de circunstancias bajo las cuales se realizarán las actividades de tratamiento, con el objetivo de verificar si pueden suponer un alto riesgo. En este punto es importante identificar las características de la organización como puede ser el número de personas que están implicadas en el tratamiento, así como sus perfiles y roles sin olvidar la segregación de funciones que puede realizarse a lo largo del ciclo de vida del tratamiento. También es importante identificar las características de los locales donde se va a realizar el tratamiento, como salas comunes para atender a los ciudadanos, salas de espera, etc. Finalmente, dentro del contexto también se deberán identificar y detallar las tecnologías empleadas.
Además, cuando estamos analizando el contexto del tratamiento, también se debe analizar el entorno externo a la organización como puede ser el entorno social y cultural, financiero, reglamentario… y todo ello atendiendo a si se va a realizar el tratamiento a nivel nacional, internacional, regional o local.
Por ejemplo:
¿Se realiza un uso de nuevas tecnologías?
¿Son especialmente invasivas para la privacidad?
¿Existen varios responsables del tratamiento?
¿Existen cadenas complejas de encargados de tratamiento?
¿Se producen transferencias internacionales?
¿Existen cesiones de datos?

Gestión de los riesgos y establecimiento de soluciones para garantizar la privacidad
Debes tener presente que antes de hacer la evaluación de impacto, tienes que gestionar los riesgos. Eso consiste en un proceso de identificar, analizar y valorar la probabilidad e impacto derivados de la posibilidad de que se materialice un riesgo, con el objetivo de establecer las acciones preventivas, correctivas y reductivas que permitan minimizar el nivel de exposición al riesgo.
Identificar y evaluar los riesgos son las tareas iniciales del proceso de gestión de riesgos. Se debe asegurar una correcta y completa identificación de los riesgos a los que están expuestas las actividades de tratamiento, ya que es un aspecto clave para poder realizar una evaluación completa. Si no se identifican todos los riesgos, no se van a evaluar, y por tanto tampoco se van a tratar, lo que llevaría a que el tratamiento a iniciar podría estar más expuesto a un potencial riesgo.
Análisis de cumplimiento normativo
Cuando hablamos de cumplimiento normativo debes tener presente que la AEPD dispone de un documento denominado “Listado de cumplimiento normativo” que contiene una lista de riesgos asociados al cumplimiento normativo. Hasta la publicación del RGPD todas las empresas estaban habituadas a gestionar el riesgo desde el punto de vista de los riesgos asociados a la empresa, y no se habían planteado riesgos asociados a sus empleados o clientes. El RGPD ha puesto esta novedad ante las organizaciones, ya que es el aspecto del análisis de riesgos que más ha costado entender.
Este listado pretende ser una referencia para todas las empresas, con el fin de que puedan analizar si cumplen con lo estipulado en el RGPD, y es una ayuda para determinar hasta qué punto están fallando sus procesos en la gestión del tratamiento de datos personales.
Informe final
Una vez elaborada una evaluación de impacto, ésta debe quedar documentada en un informe.
Este informe es importante tenerlo tanto si la conclusión de la evaluación de impacto es favorable al tratamiento, como si se debe presentar como documento en la consulta previa a la autoridad de control.
La AEPD también publicó un modelo de informe para el sector privado y que ha sido actualizado en marzo de 2020, que incluye los apartados que deben tenerse en cuenta para elaborar el informe resultante de una EIPD. Son los siguientes:
- Resumen ejecutivo
- Descripción del tratamiento
- Licitud del tratamiento y cumplimiento normativo
- Metodología de la EIPD
- Análisis del tratamiento
- Análisis de la obligación de realizar una EIPD
- Análisis de la necesidad del tratamiento.
- Medidas para la reducción del riesgo
- Análisis del balance entre riesgo‐beneficio
- Plan de acción
- Conclusiones y recomendaciones
- Anexos
- IMPORTANTE: Fechar el documento
Aquí te he dado los títulos de lo que debe contener este informe.
Implantación de las recomendaciones
Revisión y retroalimentación
La revisión y retroalimentación en la EIPD se ha de realizar antes de la implementación del tratamiento. Además, su revisión y adaptación se extiende a todas las etapas del ciclo de vida de éste.
Si durante la vida del tratamiento se producen cambios ajenos al responsable, como cambios contextuales o una ampliación no prevista del ámbito/alcance, será necesario actualizar la EIPD y, en su caso, generar un nuevo informe y plan de acción con las medidas de control adicionales que fueran necesarias implantar en el marco de la gestión del riesgo antes de continuar con el tratamiento. Si no se hubiera realizado la EIPD porque las circunstancias iniciales no obligaban o no lo recomendaban, entonces sería necesario realizar la EIPD desde cero.
Por lo tanto, es obligación del responsable realizar una revisión del nivel de riesgo en los tratamientos ya en curso.
Hemos llegado hasta el final, te hemos dejado el listado de las empresas que deben realizar de manera obligatoria la evaluación de impacto. Ya tienes las claves: está en tus manos tomar las medidas necesarias, en el caso de que vayas a realizar nuevos tratamientos.
Estamos trabajando para implementar la próxima Evaluación de Impacto en nuestra herramienta digital Legal Box. Te avisaremos cuando lo tengamos listo.
Gracias por estar aquí y espero que sigas las recomendaciones para que tengas siempre tu web y negocios legales.

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.