¿Qué es una evaluación de impacto y cuando es obligatoria?



La Evaluación de Impacto en Protección de Datos (EIPD) es una herramienta preventiva, diseñada para analizar de forma anticipada los riesgos reales que supone un tratamiento de datos personales. Su propósito es identificar posibles peligros, cuantificar su probabilidad e impacto, y determinar medidas que los mitiguen. Esta previsión ayuda a garantizar los derechos y libertades de las personas antes de que se inicie cualquier procesamiento relevante.

¿Quién debe realizarla?

La tarea recae sobre el responsable del tratamiento, es decir, quien decide por qué y cómo se procesan los datos. Aunque el Delegado de Protección de Datos (DPD) asesora, no es quien realiza la EIPD. En la práctica, puede colaborar un equipo multidisciplinar con expertos técnicos, jurídicos y operativos para asegurar una visión completa de los riesgos .

¿Cuándo es obligatoria?

Así lo exige el artículo 35 del RGPD: se debe hacer antes del tratamiento cuando este entrañe un alto riesgo para los derechos de las personas. El Comité Europeo y la AEPD han definido varios supuestos claros:

Evaluaciones sistemáticas y automatizadas, especialmente con toma de decisiones automatizada o perfilado avanzado
Tratamiento masivo de datos sensibles (origen étnico, salud, biométricos, condenas, etc.)
Monitorización sistemática de personas, por ejemplo, mediante videovigilancia en zonas públicas, seguimiento geolocalizado o recogida de metadatos

Nuevas tecnologías con gran alcance, combinación de bases de datos, tratamientos de personas vulnerables, o uso de datos de menores

Algunos ejemplos

Un banco que examina crédito mediante una base externa.

Un hospital que implementa una base de datos sanitaria a gran escala.

Un sistema de cámaras en un entorno urbano para vigilar personas

En cambio, tratamientos internos y limitados, como el registro de pacientes por un médico de forma local, normalmente no requieren EIPD

La EIPD es un instrumento clave del RGPD para anticiparse a amenazas que pongan en riesgo la privacidad. Es un proceso riguroso, metodológico y con carácter previo al tratamiento. El responsable es el obligado a llevarla a cabo, especialmente cuando se den las condiciones de alto riesgo señaladas por normativa y guías oficiales. Realizarla no solo cumple con la ley, sino que fortalece la confianza, mejora la gestión y protege la reputación de la organización.