Evaluación de Impacto en la Protección de Datos (EIPD): Guía del RGPD
Cuándo es obligatoria una EIPD, cómo realizarla paso a paso y qué incluir. Una guía práctica sobre Evaluaciones de Impacto en la Protección de Datos del RGPD para empresas SaaS.
GRCTrail Team
Una Evaluación de Impacto en la Protección de Datos es un proceso estructurado para identificar y minimizar los riesgos de privacidad antes de que se materialicen. El artículo 35 del RGPD hace obligatorias las EIPD para tratamientos que sean “susceptibles de entrañar un alto riesgo para los derechos y libertades de las personas físicas”. Pero incluso cuando no es legalmente necesaria, una EIPD es una de las herramientas más prácticas que tiene para incorporar la privacidad en su producto desde el principio.
Para las empresas SaaS, el detonante de una EIPD a menudo llega con el lanzamiento de una nueva funcionalidad, una nueva integración de datos o un cambio en el uso de datos existentes. El equipo de producto quiere añadir analítica de comportamiento. El equipo de aprendizaje automático quiere entrenar un modelo con datos de usuarios. El equipo de ventas quiere enriquecer perfiles de leads con datos de terceros. Cada uno de estos escenarios puede requerir una EIPD — y la evaluación debería realizarse durante la planificación, no después del lanzamiento.
¿Cuándo es obligatoria una EIPD?
La regla general
El artículo 35(1) exige una EIPD cuando el tratamiento sea “susceptible de entrañar un alto riesgo” para los individuos. El reglamento proporciona ejemplos y criterios específicos, pero la pregunta fundamental es: ¿crea este tratamiento una posibilidad significativa de perjudicar la privacidad, autonomía o derechos de alguien?
Escenarios obligatorios — Artículo 35(3)
El RGPD exige explícitamente una EIPD en tres situaciones:
Elaboración de perfiles sistemática y extensiva con efectos significativos. Si realiza evaluaciones automatizadas sobre individuos que producen efectos jurídicos o igualmente significativos — decisiones crediticias automatizadas, determinaciones de elegibilidad algorítmicas, puntuación de riesgos que afecta al acceso al servicio — una EIPD es obligatoria.
Tratamiento a gran escala de datos de categorías especiales. El tratamiento de datos de salud, datos biométricos, datos genéticos, datos sobre origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical u orientación sexual a gran escala desencadena una EIPD obligatoria.
Vigilancia sistemática de zonas de acceso público a gran escala. Esto se aplica principalmente a la videovigilancia, pero podría extenderse a escenarios SaaS que impliquen herramientas de monitorización públicas.
Los criterios del Grupo de Trabajo del Artículo 29
El Grupo de Trabajo del Artículo 29 (ahora el Comité Europeo de Protección de Datos) identificó nueve criterios que indican tratamiento de alto riesgo. Si su tratamiento cumple dos o más de estos criterios, generalmente se requiere una EIPD:
- Evaluación o puntuación — Elaboración de perfiles, predicción de rendimiento, comportamiento, preferencias o intereses
- Toma de decisiones automatizada con efecto jurídico o significativo — Tratamiento que resulta en decisiones que afectan significativamente a los individuos
- Vigilancia sistemática — Observar, rastrear o controlar a los interesados de forma sistemática
- Datos sensibles o de carácter altamente personal — Datos de categorías especiales, datos financieros, datos de ubicación, contenido de comunicaciones
- Tratamiento a gran escala — Que afecta a un gran número de interesados o implica un gran volumen de datos
- Combinación o cruce de conjuntos de datos — Combinar datos de múltiples fuentes de formas que los interesados no esperarían razonablemente
- Datos sobre personas vulnerables — Tratamiento de datos sobre menores, empleados, pacientes, personas mayores
- Uso innovador de tecnología — Aplicación de nuevas soluciones tecnológicas (IA, IoT, biometría) donde el impacto en la privacidad aún no se comprende bien
- Tratamiento que impide a los interesados ejercer sus derechos — Bloquear el acceso a un servicio o contrato basándose en el tratamiento de datos
Detonantes específicos de SaaS
Para una empresa SaaS típica, los detonantes comunes de una EIPD incluyen:
- Lanzar una funcionalidad de IA o aprendizaje automático que procese datos de usuarios
- Implementar analítica de comportamiento que rastree recorridos individuales de usuarios
- Añadir detección automatizada de fraude o puntuación de riesgos
- Integrar enriquecimiento de datos de terceros en perfiles de usuarios
- Expandirse al tratamiento de datos de salud, financieros o de menores
- Desplegar autenticación biométrica
- Construir funcionalidades que impliquen tratamiento de datos transfronterizo a nueva escala
- Introducir capacidades de seguimiento de ubicación o geovallado
Listas nacionales de las autoridades de protección de datos
Cada autoridad de protección de datos de los Estados miembros de la UE publica una lista de operaciones de tratamiento que requieren una EIPD en su jurisdicción. Estas listas añaden requisitos específicos de cada país sobre los criterios generales del RGPD. Consulte la lista publicada por la autoridad donde se realiza su tratamiento.
Cómo realizar una EIPD: paso a paso
Paso 1: Describir el tratamiento
Comience con una descripción clara y completa del tratamiento propuesto:
¿Qué datos están involucrados? Enumere cada categoría de datos personales: nombres, direcciones de correo electrónico, datos de comportamiento, información de pago, identificadores de dispositivo, datos de ubicación, contenido generado por el usuario.
¿Quiénes son los interesados? Clientes, usuarios finales, empleados, visitantes del sitio web, menores, personas vulnerables.
¿Cuál es la finalidad? Sea específico. “Mejorar el producto” no es una descripción de finalidad. “Analizar patrones individuales de interacción de usuarios para identificar cuellos de botella de usabilidad y priorizar el desarrollo de funcionalidades” sí lo es.
¿Cuál es el alcance? ¿Cuántos interesados se ven afectados? ¿Cuántos datos se procesan? ¿En qué área geográfica? ¿Durante cuánto tiempo?
¿Qué tecnología se utiliza? Describa los sistemas, algoritmos y servicios de terceros involucrados. Si se utiliza aprendizaje automático, describa el tipo de modelo, las fuentes de datos de entrenamiento y la lógica de decisión.
¿Quién tiene acceso? Equipos internos, encargados, subencargados, organizaciones asociadas.
¿Cuál es el flujo de datos? Trace los datos desde la recopilación hasta el almacenamiento, tratamiento, intercambio y eventual eliminación. Identifique cada sistema por el que pasan los datos y cada frontera que cruzan.
Paso 2: Evaluar la necesidad y proporcionalidad
Antes de evaluar riesgos, confirme que el tratamiento es necesario y proporcionado:
¿Es el tratamiento necesario para su finalidad declarada? ¿Podría lograr el mismo objetivo con menos datos o un tratamiento menos invasivo? El principio de minimización de datos exige que no trate más datos de los necesarios.
¿Cuál es la base legal? Identifique cuál de las seis bases legales se aplica y verifique que es apropiada para este tipo de tratamiento.
¿Son los datos exactos y se mantienen actualizados? Datos inexactos en la toma de decisiones automatizada pueden llevar a resultados injustos.
¿Cuáles son los plazos de conservación? ¿Cuánto tiempo se conservarán los datos de este tratamiento? ¿Está el plazo justificado por la finalidad?
¿Cómo se respaldan los derechos de los interesados? ¿Pueden los individuos acceder, corregir o eliminar sus datos? ¿Pueden oponerse al tratamiento? Si el tratamiento implica toma de decisiones automatizada, ¿pueden solicitar intervención humana?
Paso 3: Identificar y evaluar riesgos
Para cada riesgo, evalúe:
- Probabilidad: ¿Qué tan probable es que este riesgo se materialice? (Remota, posible, probable, casi segura)
- Gravedad: Si el riesgo se materializa, ¿cuán significativo es el impacto en los interesados? (Mínima, limitada, significativa, máxima)
Categorías comunes de riesgo para el tratamiento SaaS:
Acceso no autorizado. ¿Podría una violación o una mala configuración exponer los datos tratados? ¿Cuál sería el impacto — vergüenza, pérdida financiera, robo de identidad, discriminación?
Desviación de la finalidad (function creep). ¿Podrían los datos recopilados para una finalidad ser reutilizados para algo que los interesados no esperaban? Datos de analítica de producto usados para monitorización individual del rendimiento, por ejemplo.
Inexactitud y sesgo. Si el tratamiento implica decisiones automatizadas, ¿podrían datos inexactos o algoritmos sesgados llevar a resultados injustos?
Recopilación excesiva de datos. ¿Está recopilando más datos de los que exige la finalidad? ¿Podría lograrse el mismo objetivo con datos agregados o anonimizados?
Falta de transparencia. ¿Comprenden los interesados lo que ocurre con sus datos? ¿Pueden ejercer sus derechos de forma significativa?
Riesgo de proveedores. Si hay encargados involucrados, ¿qué riesgos introducen sus prácticas de seguridad, subencargados y ubicaciones de datos?
Riesgo transfronterizo. Si los datos se transfieren internacionalmente, ¿son adecuados los mecanismos de transferencia? ¿Qué ocurre si un mecanismo de transferencia se invalida?
Paso 4: Identificar medidas de mitigación
Para cada riesgo identificado, documente medidas específicas para reducir el riesgo a un nivel aceptable:
Medidas técnicas:
- Cifrado en reposo y en tránsito
- Seudonimización o anonimización
- Controles de acceso y permisos basados en roles
- Registro de auditoría
- Eliminación automatizada de datos al vencimiento del plazo de conservación
- Minimización de datos en la recopilación y almacenamiento
Medidas organizativas:
- Formación del personal en protección de datos
- Políticas y procedimientos claros
- Revisiones y auditorías periódicas
- Planes de respuesta a incidentes
- Diligencia debida sobre proveedores
Medidas contractuales:
- Acuerdos de Tratamiento de Datos con todos los encargados
- Obligaciones de confidencialidad
- Controles sobre subencargados
Medidas de diseño:
- Privacidad desde el diseño (incorporar protecciones de privacidad en la arquitectura)
- Privacidad por defecto (garantizar que las configuraciones más protectoras sean las predeterminadas)
- Controles de usuario (dar a los interesados opciones significativas)
Paso 5: Documentar la evaluación
El artículo 35(7) especifica el contenido mínimo de una EIPD:
- Una descripción sistemática del tratamiento y sus finalidades, incluido el interés legítimo perseguido (si procede)
- Una evaluación de la necesidad y proporcionalidad del tratamiento
- Una evaluación de los riesgos para los derechos y libertades de los interesados
- Las medidas previstas para abordar los riesgos
Más allá del mínimo, documente:
- La fecha de la evaluación y quién la realizó
- El asesoramiento del DPD (si tiene un DPD)
- Las partes interesadas consultadas (producto, ingeniería, legal, seguridad)
- La decisión (proceder según lo planificado, proceder con modificaciones, no proceder)
- El calendario de revisión
Paso 6: Consultar a su DPD
Si tiene un Delegado de Protección de Datos, el artículo 35(2) le exige solicitar su asesoramiento al realizar una EIPD. El rol del DPD es consultivo — no aprueba ni rechaza la EIPD, pero su valoración debe documentarse y tomarse en serio.
Paso 7: Consulta previa (si es necesario)
Si su EIPD identifica riesgos altos que no puede mitigar a un nivel aceptable mediante las medidas que ha identificado, el artículo 36 le exige consultar a su autoridad de control antes de proceder. Esto se denomina “consulta previa” y es relativamente raro — señala que el tratamiento es inherentemente de alto riesgo y la autoridad debe pronunciarse antes de que usted proceda.
Plantilla de EIPD para empresas SaaS
Esta es una estructura práctica para documentar una EIPD:
Sección 1: Visión general del tratamiento
- Nombre/descripción del tratamiento
- Propietario del negocio y líder del proyecto
- Fecha de la evaluación
- Fecha de revisión
Sección 2: Detalles del tratamiento
- Finalidad y alcance
- Categorías de interesados
- Categorías de datos personales
- Fuentes de datos
- Flujos de datos (diagrama)
- Tecnología y sistemas
- Encargados y subencargados
- Transferencias internacionales
- Plazos de conservación
Sección 3: Necesidad y proporcionalidad
- Base legal y justificación
- Evaluación de la minimización de datos
- Evaluación de la limitación de la finalidad
- Medidas de calidad de datos
- Mecanismos de derechos de los interesados
Sección 4: Evaluación de riesgos
- Registro de riesgos (descripción del riesgo, probabilidad, gravedad, nivel de riesgo global)
- Agrupado por: confidencialidad, integridad, disponibilidad, derechos y libertades
Sección 5: Medidas de mitigación
- Para cada riesgo: medida, responsable, plazo de implementación, riesgo residual
Sección 6: Conclusiones y decisión
- Nivel de riesgo global tras la mitigación
- Decisión (proceder / proceder con condiciones / no proceder)
- Asesoramiento del DPD
- Firma de aprobación
Sección 7: Calendario de revisión
- Desencadenantes de revisión (nuevas funcionalidades, nuevos tipos de datos, incidentes, cambios regulatorios)
- Fechas de revisión programadas
Cómo GRCTrail respalda las EIPD
GRCTrail integra las EIPD en su programa más amplio de gestión de riesgos y cumplimiento:
Flujo de trabajo estructurado de EIPD. Siga un proceso guiado desde la descripción del tratamiento hasta la evaluación de riesgos y la decisión, asegurando que no se omita ningún elemento requerido.
Conectado a su RAT. Vincule las evaluaciones EIPD a las actividades de tratamiento relevantes en su Registro de Actividades de Tratamiento. Cuando el tratamiento cambia, la EIPD vinculada se marca para revisión.
Registro de riesgos. Rastree los riesgos identificados, sus mitigaciones y los niveles de riesgo residual a lo largo del tiempo. Demuestre a las autoridades de control que gestiona activamente los riesgos de privacidad, no solo los documenta.
Pista de auditoría. Cada acción de EIPD — creación, revisión, actualización, aprobación — tiene marca de tiempo y atribución. Su evidencia de responsabilidad proactiva se construye automáticamente.
Guías relacionadas
- Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
- Notificación de violaciones de datos — Cuando los riesgos se convierten en incidentes
- Registro de Actividades de Tratamiento (RAT) — Documentación de su tratamiento
- Las seis bases legales — Fundamentos jurídicos del tratamiento
Artículos relacionados
Lista de verificación de cumplimiento del RGPD para empresas SaaS
Una lista de verificación paso a paso para el cumplimiento del RGPD diseñada para equipos SaaS. Cubre documentación, derechos de los interesados, gestión de proveedores y monitoreo continuo para que nada se quede sin atender.
¿Qué es el cumplimiento del RGPD? Una guía práctica para equipos SaaS
El cumplimiento del RGPD no tiene por qué ser abrumador. Esta guía desglosa los requisitos clave, quién debe cumplir y los pasos prácticos que los equipos SaaS pueden seguir para comenzar.
Gestión del consentimiento del RGPD: requisitos y mejores prácticas
Comprenda cuándo es necesario el consentimiento del RGPD, qué lo hace válido, cómo implementar mecanismos de consentimiento y la diferencia entre el consentimiento y otras bases legales. Orientación práctica para equipos SaaS.