Utilizamos cookies para ofrecer a nuestras visitas una experiencia transparente y cómoda a la hora de navegar por nuestra página web. Al utilizar nuestra página web acepta el uso de cookies; puede obtener más información sobre las cookies y su uso en nuestra web en la sección de Política de cookies

Evaluación de Impacto Protección de Datos Personales (EIPD)

¿Qué es una evaluación de impacto en la protección de datos personales (EIPD)?

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

La gran ventaja derivada de la realización de una EIPD en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información es que permite identificar los posibles riesgos y corregirlos anticipadamente, evitando los costes derivados de descubrirlos a posteriori, cuando el servicio está en funcionamiento o, lo que es peor, cuando la lesión de los derechos se ha producido. En estos casos no solo se incurre en costes económicos, sino también de imagen para la organización cuya reputación se ve afectada.

Además, la realización de una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un excelente ejercicio de transparencia, base de una relación de confianza. Ayuda a planificar las respuestas a posibles impactos en la protección de datos de los afectados, a gestionar las relaciones con terceras partes implicadas en el proyecto y a educar y motivar a los empleados para estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.

En cualquier caso, a través de la evolución de los trabajos e investigaciones, se ha constatado que hay un conjunto de elementos comunes que forman parte del núcleo de cualquier procedimiento que se pueda considerar como una evaluación de impacto en el derecho fundamental a la protección de datos personales:

  • Una EIPD es un proceso más amplio que el de la mera comprobación del cumplimiento normativo, que debe llevarse a cabo con anterioridad a la implantación de un nuevo producto, servicio o sistema de información o cuando uno existente vaya a sufrir cambios sustanciales que impliquen la posibilidad de la aparición de nuevos riesgos. 


  • Debe ser sistemática y reproducible, y estar orientada a revisar procesos más que a producir un resultado o informe final. Además, debe permitir una identificación clara de los responsables de las distintas tareas. 


  • Comienza con una primera fase de identificación y clasificación de la información para de- terminar los datos personales que se tratan y sus características. 


  • Debe identificar quién y cómo tendrá acceso y tratará los datos personales. 


  • Se debe permitir participar en el proceso y realizar aportaciones a todos los afectados por el mismo, tanto departamentos de la organización como socios o entidades externas, afectados u otros agentes sociales. 


  • Debe contener una descripción de los controles que se implantarán para asegurar que solo se tratan los datos personales necesarios y para las finalidades legítimas previstas y definidas. 


  • El resultado final debe ser un documento con un contenido mínimo y una estructura que deben definirse previamente. 


  • Este resultado final de una EIPD debería tener un cierto grado de publicidad en un documento distribuido por la organización que la ha realizado y que, por supuesto, no contendrá información confidencial o sensible.

La gran ventaja derivada de la realización de una evaluación de impacto en el momento oportuno, esto es, en las etapas iniciales del diseño de un nuevo producto, servicio o sistema de información, es la identificación de los posibles riesgos que pueden derivarse del mismo y su corrección –o, al menos, su mitigación- antes de que el sistema se desarrolle y se descubran a posteriori, implicando generalmente una solución con elevados costes.

El proceso de adaptación al RGPD no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento jurídico especializado que ofrezca suficientes garantías.

Cuando hacer una evaluación de impacto en la protección de datos personales (EIPD)

Es fundamental llevar a cabo una reflexión previa sobre las situaciones que aconsejarían su realización, ya que pequeños cambios o proyectos que no signifiquen modificaciones importantes o nuevos usos de datos personales pueden no justificar, por su sencillez y escasos riesgos para la privacidad, la realización de una evaluación de impacto.

En relación con las situaciones en las que sería aconsejable llevar a cabo una evaluación de impacto, a continuación, se incluye una relación indicativa de algunas de ellas:

  • Cuando se enriquezca la información existente sobre las personas mediante la recogida de nuevas categorías de datos o se usen las existentes con nuevas finalidades o en formas que antes no se usaban, en particular, si los nuevos usos o finalidades son más intrusivos o inesperados para los afectados.

  • Cuando se lleve a cabo un tratamiento significativo no incidental de datos de menores o dirigido especialmente a tratar datos de estos, en particular si tienen menos de catorce años.

  • Cuando se vaya a llevar a cabo un tratamiento destinado a evaluar o predecir aspectos personales relevantes de los afectados6, su comportamiento, su encuadramiento en perfiles determinados (para cualquier finalidad)7, encaminado a tomar medidas que produzcan efectos jurídicos que los atañen o los afectan significativamente y, en particular, cuando establezcan diferencias de trato o trato discriminatorio8 o que puedan afectar a su dignidad o su integridad personal9.

  • Cuando se traten grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things) o el desarrollo y la construcción de ciudades inteligentes (smart cities).

  • Cuando se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, o la utilización de etiquetas de radiofrecuencia o RFID10 (especialmente, si forman parte de la llamada internet de las cosas) o cualesquiera otras que puedan desarrollarse en el futuro).

  • Cuando el tratamiento afecte a un número elevado de personas o, alternativa o adicional- mente, se produzca la acumulación de gran cantidad de datos respecto de los interesados.

  • Cuando se cedan o comuniquen los datos personales a terceros y, en particular, siempre que se pongan en marcha nuevas iniciativas que supongan compartir datos personales con terceros que antes no tenían acceso a ellos, ya sea entregándolos, recibiéndolos o poniéndolos en común de cualquier forma. 


  • Cuando se vayan a transferir los datos a países que no forman parte del Espacio Económico Europeo (EEE)11 y que no hayan sido objeto de una declaración de adecuación por parte de la Comisión Europea o de la Agencia Española de Protección de Datos12. 


  • Cuando se vayan a utilizar formas de contactar con las personas afectadas que se podrían considerar especialmente intrusivas. 


  • Cuando se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.


  • Cuando la recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos. 


La oferta de SAPD es la Adaptación Total a las exigencias de la RGPD. A todas y al 100%.

Servicio SAPD - Evaluación de impacto en la protección de datos personales (EIPD)

En la redacción de la evaluación de impacto (EIPD), el DPO tendrá las siguientes funciones:

  • Asesorar acerca de la EIPD formando parte del equipo redactor.

  • Realizar la consulta previa a la Autoridad de control y proceder a su seguimiento.

  • Supervisar la aplicación de la EIPD.

  • Componer el equipo que elaborará la EIPD.

  • Determinar la obligación de realizar la EIPD.

  • Identificar los tratamientos susceptibles de alto riesgo.

  • Determinar los objetivos y finalidades del tratamiento.

  • Evaluar la necesidad y la proporcionalidad del tratamiento con respecto a su finalidad.

  • Revisar los riesgos previstos en el análisis previo.

  • Analizar las situaciones de riesgo vinculadas a las operaciones de tratamiento.

  • Establecer un proceso de consultas para recabar la opinión de los interesados en relación con el tratamiento previsto.

  • Evaluar el impacto del tratamiento para los derechos y libertades de los interesados.

  • Realizar consultas previas a la autoridad de control (si se precisa).

  • Determinar los mecanismos destinados a garantizar la protección de datos.

  • Establecer medidas de seguridad para afrontar los riesgos del tratamiento.

  • Realizar una previsión para revisar la evaluación de impacto.

  • Redactar un informe de la EIPD.

  • Examinar que el tratamiento sea conforme con la EIPD realizada.

  • Revisar los cambios de riesgo que representen nuevas operaciones de tratamiento.

  • Redactar un informe de revisión de la EIPD.