EIPD: Primera Línea de Defensa frente a Sanciones RGPD

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA, por sus siglas en inglés) es el instrumento de análisis de riesgos que el artículo 35 del RGPD exige realizar antes de iniciar cualquier tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas. El Comité Europeo de Protección de Datos ha identificado nueve criterios que activan la obligación — entre ellos la toma de decisiones automatizada, el tratamiento de datos biométricos, la observación sistemática y el uso de nuevas tecnologías — y la AEPD ha publicado su propia lista de tratamientos que siempre requieren EIPD en España. Cuando, tras aplicar las medidas de mitigación, el riesgo residual sigue siendo alto, el responsable del tratamiento debe consultar a la AEPD antes de iniciar el tratamiento; la omisión de esta consulta previa obligatoria constituye una infracción grave sancionable con multas de hasta 20 millones de euros o el 4% de la facturación global.

EIPD obligatoria: cuando la ausencia puede costar hasta 20 millones de euros

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA) es una de las obligaciones del RGPD que la AEPD sanciona con mayor severidad. Muchas empresas desconocen cuando aplica la obligación o la realizan con plantillas genericas que no superarian una inspección. Un tratamiento de alto riesgo sin EIPD válida expone a la empresa a multas de hasta 20 millones de euros o el 4% de la facturación global. Los supuestos más frecuentes: sistemas de videovigilancia a gran escala, herramientas de IA para toma de decisiones sobre personas, tratamientos de datos de salud, y perfilado de comportamiento para marketing.

Realizar una EIPD de baja calidad — con análisis de riesgos generico y medidas de mitigacion estándar — no protege a la empresa: la AEPD puede exigirla en cualquier momento y su insuficiencia genera responsabilidad equivalente a no haberla realizado.

Metodología AEPD para evaluaciones de impacto rigurosas

Nuestro equipo aplica la metodología de la guía práctica de la AEPD, que es la referencia que la autoridad utiliza en sus inspecciones. Analizamos la necesidad y proporcionalidad del tratamiento, mapeamos los riesgos para los interesados con valoración específica de probabilidad e impacto, y diseñamos medidas de mitigacion concretas y verificables. Cuando el riesgo residual sigue siendo alto tras aplicar todas las medidas disponibles, gestionamos la consulta previa obligatoria con la AEPD.

La EIPD tiene especial relevancia en el desarrollo de nuevos productos digitales y sistemas de IA: trabajamos con los equipos de producto y tecnología para realizarla en la fase de diseño, cuando los cambios de arquitectura son fáciles, no después del lanzamiento cuando son costosos. Esta integración con privacidad desde el diseño es el enfoque más eficiente.

Contexto regulatorio en España: artículo 35 RGPD y lista AEPD

El artículo 35 del RGPD establece la obligación de EIPD y los nueve criterios que la activan según el Comité Europeo de Protección de Datos. La AEPD ha publicado su propia lista de tratamientos que siempre requieren EIPD en España, incluyendo videovigilancia a gran escala, datos biométricos para identificación, datos de salud a gran escala y sistemas de perfilado para publicidad comportamental.

La EIPD se superpone con la evaluación de conformidad del AI Act para sistemas de IA de alto riesgo: cuando un sistema de IA trata datos personales, ambas evaluaciones deben realizarse de forma integrada. Un DPO externalizado con experiencia en ambos marcos garantiza coherencia y evita duplicaciones costosas.

Resultados que puedes esperar

• Determinación clara de si el tratamiento requiere EIPD con análisis jurídico documentado
• Informe EIPD completo conforme al artículo 35.7 RGPD y la metodología de la AEPD
• Valoración específica de riesgos para los interesados con probabilidad e impacto cuantificados
• Medidas de mitigacion concretas y verificables, no estándar genericas
• Gestión de la consulta previa con la AEPD cuando el riesgo residual no puede reducirse
• Documentación que resiste una inspección de la AEPD: 100% de consultas previas resueltas favorablemente

El artículo 35 del RGPD establece la obligación de realizar una EIPD antes de iniciar cualquier tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas.

La calidad de una EIPD se mide por la profundidad del análisis de riesgos, no por el volumen de la documentación. Una EIPD que se limita a listar riesgos genericos sin valorar probabilidad ni impacto específico, o que propone medidas de mitigacion estándar sin verificar que efectivamente reducen el riesgo en el contexto concreto del tratamiento, no es una EIPD válida a ojos de la AEPD. Nuestro equipo aplica la metodología estructurada de la guía práctica de la autoridad y documenta el razonamiento de cada valoración, de forma que el informe resiste un escrutinio externo.

La EIPD tiene especial relevancia en el desarrollo de nuevos productos digitales y en la adopción de sistemas de inteligencia artificial. Trabajamos con los equipos de producto y tecnología para realizar la evaluación en la fase de diseño, antes de que se hayan tomado decisiones técnicas irreversibles. Este enfoque de privacidad desde el diseño es mucho más eficiente que realizar la EIPD una vez que el sistema ya está en producción y las medidas de mitigacion requieren cambios técnicos costosos.

Cuando el riesgo residual no puede reducirse a un nivel aceptable tras aplicar todas las medidas disponibles, gestionamos la consulta previa con la AEPD, un procedimiento que muchos responsables del tratamiento desconocen pero que el RGPD impone como condición para poder continuar con el tratamiento. La consulta previa, bien documentada y con un expediente técnico riguroso, es una oportunidad para obtener el aval de la autoridad antes del lanzamiento y reduce significativamente la exposición sancionadora posterior.

EIPD e inteligencia artificial: la evaluación que se superpone con el AI Act

La intersección entre el RGPD y el AI Act europeo es uno de los puntos de mayor complejidad para las empresas que despliegan sistemas de inteligencia artificial que tratan datos personales. El AI Act impone su propia evaluación de conformidad para los sistemas de IA de alto riesgo (Anexo III del Reglamento), que incluye la documentación técnica, el sistema de gestión de la calidad, el registro en la base de datos de la Comisión Europea y la evaluación periódica. Cuando este sistema de IA de alto riesgo también trata datos personales —lo que es frecuente en los sistemas de selección de personal, análisis de riesgo crediticio, sistemas de salud o videovigilancia inteligente— el responsable del tratamiento debe cumplir simultáneamente con la EIPD del RGPD y con la evaluación de conformidad del AI Act.

Nuestro equipo realiza estas evaluaciones de forma integrada para evitar duplicidades y maximizar la cobertura regulatoria. Coordinamos con el servicio de cumplimiento del AI Act y el de gobernanza de IA para que el sistema de documentación sea coherente entre ambas normas y el responsable del tratamiento pueda presentar un expediente unificado ante la AEPD y ante la autoridad de supervisión del AI Act.

Los nueve criterios del CEPD que activan la obligación de EIPD

El Comité Europeo de Protección de Datos (CEPD) ha establecido nueve criterios cuya presencia activa la obligación de EIPD. Cuando concurren dos o más de ellos, la evaluación es obligatoria:

1. Evaluación o puntuación de personas físicas, incluido el perfilado
2. Toma de decisiones automatizada con efectos legales o similares
3. Observación sistemática de personas en espacios de acceso público
4. Datos sensibles (salud, ideología, datos biométricos, financieros)
5. Datos de menores de edad
6. Tratamiento a gran escala de cualquier categoría de datos
7. Combinación o cruce de conjuntos de datos de distintas fuentes
8. Transferencia fuera del EEE sin garantías adecuadas
9. Uso de tecnologías innovadoras no evaluadas previamente

La AEPD ha publicado además su propia lista de tratamientos que siempre requieren EIPD en España, con independencia del número de criterios concurrentes. Si su empresa opera en sectores como salud, banca, insurtech, adtech o recursos humanos, es muy probable que tenga tratamientos que requieran EIPD y que aún no hayan sido identificados. Nuestro equipo puede realizar en pocas horas un mapa de tratamientos con indicación de cuáles requieren EIPD, como primer paso antes de planificar las evaluaciones.