Evaluación de impacto (EIPD)
Análisis previo de los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de los afectados.
Qué es la Evaluación de impacto (EIPD)
La Evaluación de Impacto en la Protección de Datos (EIPD), también conocida como Data Protection Impact Assessment (DPIA), es un análisis sistemático y documentado que una organización debe realizar antes de poner en marcha cualquier tratamiento de datos personales que pueda entrañar un alto riesgo para los derechos y libertades de las personas. Su objetivo es identificar riesgos, valorar su gravedad y establecer las medidas necesarias para mitigarlos.
La EIPD está regulada en el artículo 35 del RGPD y no es un trámite burocrático: es una herramienta de gestión del riesgo que obliga a la organización a pensar de forma proactiva en la protección de datos antes de que se produzca un incidente, no después.
A diferencia de una auditoría (que analiza un tratamiento ya en marcha), la EIPD se realiza con carácter previo, es decir, antes de iniciar el tratamiento o cuando se produzcan cambios significativos en un tratamiento existente.
Cuándo es obligatoria
El artículo 35.3 del RGPD establece que la EIPD es obligatoria, como mínimo, en los siguientes casos:
- Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o afecte significativamente a los interesados.
- Tratamiento a gran escala de categorías especiales de datos (datos de salud, datos biométricos, datos penales).
- Observación sistemática a gran escala de una zona de acceso público (videovigilancia, por ejemplo).
Además, la AEPD publicó una lista orientativa de tratamientos que requieren EIPD en España. Algunos de los supuestos más relevantes para PYMEs son:
| Supuesto | Ejemplo práctico |
|---|---|
| Fichaje biométrico | Uso de huella dactilar o reconocimiento facial para control horario |
| Geolocalización de empleados | Apps de fichaje con GPS para trabajadores itinerantes |
| Datos de salud a gran escala | Historias clínicas digitales en centros sanitarios |
| Perfilado de empleados | Sistemas que analicen rendimiento laboral de forma automatizada |
| Videovigilancia con analítica | Cámaras con reconocimiento facial o conteo de personas |
Es especialmente relevante para el ámbito de RRHH: desde que la AEPD y el Comité Europeo de Protección de Datos (CEPD) endurecieron su posición sobre el fichaje biométrico, cualquier empresa que utilice huella dactilar o reconocimiento facial para el registro horario debe realizar una EIPD previa. Del mismo modo, el uso de geolocalización en el fichaje requiere una evaluación de impacto cuando se realiza de forma sistemática.
Proceso paso a paso
La metodología de una EIPD, según las directrices del Grupo de Trabajo del Artículo 29 (WP248 rev.01), sigue cuatro fases:
1. Descripción del tratamiento
Documentar de forma detallada:
- Qué datos se recogen y de quién
- Con qué finalidad y base jurídica
- Cómo se recogen, almacenan y procesan
- Quién tiene acceso y durante cuánto tiempo
- Si se producen transferencias internacionales
2. Evaluación de la necesidad y proporcionalidad
Analizar si el tratamiento es necesario para la finalidad perseguida y si no existe una alternativa menos intrusiva. Por ejemplo: si se quiere controlar la presencia de empleados, un sistema de fichaje digital sin biometría puede ser suficiente y menos invasivo que la huella dactilar.
3. Identificación y evaluación de riesgos
Valorar los riesgos para los derechos y libertades de los afectados, considerando:
- Probabilidad de que el riesgo se materialice
- Gravedad del impacto (acceso no autorizado, pérdida de datos, discriminación)
- Número de personas afectadas
4. Medidas para mitigar los riesgos
Establecer controles técnicos y organizativos: cifrado, seudonimización, control de accesos, formación del personal, políticas de retención de datos, procedimientos ante brechas de seguridad.
Si tras aplicar todas las medidas el riesgo residual sigue siendo alto, la organización debe consultar a la AEPD antes de iniciar el tratamiento (artículo 36 del RGPD, consulta previa).
Papel del DPD en la EIPD
El Delegado de Protección de Datos (DPD) tiene un papel central en la EIPD: debe asesorar sobre cuándo es necesaria, supervisar su realización y verificar que se implementan las medidas propuestas. Su criterio técnico y jurídico es fundamental para que la evaluación sea rigurosa y cumpla con las expectativas de la AEPD.