Evaluación de Impacto (EIPD): cuándo es obligatoria y cómo se aborda con proporcionalidad

EIPD: no es “un documento más”, es una decisión de alto riesgo

La Evaluación de Impacto relativa a la Protección de Datos (EIPD) es la herramienta del RGPD para anticipar y mitigar riesgos cuando un tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas (art. 35 RGPD). Su valor real no está en “tenerla archivada”, sino en demostrar que el tratamiento se diseña con necesidad, proporcionalidad y garantías.

Beneficios de una EIPD bien planteada

• Prevención: identifica impactos antes de desplegar un sistema o un proceso.
• Diseño responsable: obliga a justificar finalidad, datos mínimos y flujos.
• Equilibrio seguridad–privacidad: evita tanto el exceso de control (intrusivo) como la falta de protección (brechas).
• Evidencia de accountability: permite acreditar decisiones y medidas.

Riesgos de no hacerla cuando es exigible

• Exposición jurídica: si el tratamiento era de alto riesgo y no se evaluó, el modelo de cumplimiento queda debilitado.
• Riesgos invisibles: perfilado, observación sistemática, datos sensibles o decisiones automatizadas pueden afectar a personas de forma significativa.
• Medidas inadecuadas: controles genéricos sin análisis suelen fallar cuando aparece el incidente o la reclamación.

Criterio AEPD: listas y “regla de 2 o más criterios”

Además de los supuestos mínimos del RGPD, la AEPD publica:

• una lista orientativa de tipos de tratamiento que requieren EIPD (art. 35.4 RGPD), y
• una lista orientativa de tipos de tratamiento que no requieren EIPD (art. 35.5 RGPD).

Como criterio práctico, la AEPD indica que en la mayoría de casos será necesario realizar una EIPD cuando el tratamiento cumpla “dos o más” criterios de alto riesgo (criterios derivados de las directrices europeas).

Criterios de alto riesgo (en lenguaje de negocio)

Un tratamiento tiende a requerir EIPD cuando combina varios de estos elementos:

1. Perfilado o valoración de personas (scoring, predicciones, segmentación intensa).
2. Decisiones automatizadas con efectos relevantes sobre la persona.
3. Observación o monitorización sistemática (especialmente en espacios públicos o de forma continuada).
4. Datos sensibles o muy intrusivos (salud, biometría, vida sexual, ideología, etc.) o datos penales.
5. Gran escala (muchos interesados, mucho volumen, larga duración o gran alcance geográfico).
6. Combinación o cruce de datos de distintas fuentes que aumenta capacidad de inferencia.
7. Colectivos vulnerables (menores, personas con discapacidad u otras situaciones de vulnerabilidad).
8. Tecnologías innovadoras o usos novedosos con incertidumbre sobre impacto.
9. Transferencias internacionales problemáticas o habituales que elevan exposición (según contexto).
10. Tratamientos que limitan el ejercicio de derechos o generan “efecto bloqueo” (por ejemplo, si negarse implica quedar fuera de un servicio esencial, según el caso).

Importante: no basta con “marcar casillas”. La decisión debe basarse en un análisis real del tratamiento.

LOPDGDD: obligación de valorar EIPD y factores de mayor riesgo

La LOPDGDD refuerza el enfoque de riesgo y exige que responsables y encargados, al determinar medidas técnicas y organizativas, valoren expresamente si procede realizar una EIPD y, en su caso, consulta previa.

Además, la LOPDGDD enumera supuestos que, por su naturaleza, elevan el riesgo y deben considerarse especialmente al decidir medidas y si procede EIPD, entre ellos:

• Riesgos de discriminación, usurpación de identidad, fraude, pérdidas financieras o daño reputacional, o pérdida de confidencialidad de datos sujetos a secreto profesional.
• Tratamientos que puedan privar de derechos o impedir el control sobre datos.
• Tratamiento no incidental de categorías especiales (art. 9 RGPD) y datos penales (art. 10 RGPD), o datos sobre infracciones administrativas según el marco español.
• Perfilado o evaluación/predicción de aspectos personales (rendimiento, situación económica, salud, preferencias, fiabilidad, localización/movimientos, etc.).
• Datos de personas vulnerables (especialmente menores y personas con discapacidad).
• Tratamientos masivos (muchos afectados o gran volumen).
• Transferencias habituales a terceros países sin nivel adecuado de protección.
• Otros supuestos relevantes, incluidos los previstos en códigos de conducta y esquemas de certificación.

Seguridad vs privacidad: el núcleo del análisis

La EIPD obliga a resolver el dilema real:

• Más control (más datos, más monitorización, más logs) puede aumentar intrusión y riesgo de privacidad.
• Menos control puede debilitar seguridad y elevar probabilidad de brecha.

La salida es justificar necesidad y proporcionalidad: datos mínimos para la finalidad, medidas técnicas/organizativas acordes, transparencia y garantías para derechos (acceso, oposición, limitación, etc.).

¿Qué incluye una EIPD “bien hecha” (y proporcionada)?

Una EIPD sólida suele cubrir:

• Descripción del tratamiento (finalidad, flujos, sistemas, destinatarios, plazos).
• Justificación de necesidad y proporcionalidad (por qué esos datos y no otros; por qué esa tecnología; alternativas menos intrusivas).
• Identificación y valoración de riesgos (probabilidad/impacto) para personas.
• Medidas de mitigación (controles, minimización, cifrado/seudonimización, control de accesos, trazabilidad cuando proceda, formación, contratos con encargados).
• Riesgo residual y decisión (aprobación, condiciones, o rediseño).

Si, pese a medidas, el riesgo residual se mantiene alto, el RGPD contempla consulta previa (art. 36).

Ten en cuenta

La EIPD es una herramienta de decisión: ayuda a diseñar tratamientos que respeten derechos sin bloquear el negocio. Y en España, la AEPD (listas y criterios) y la LOPDGDD (factores de mayor riesgo) aportan guías concretas para decidir cuándo es exigible y cómo justificar proporcionalidad.