La evaluación de impacto en protección de datos (EIPD), conocida en inglés como Data Protection Impact Assessment (DPIA), es una herramienta fundamental del RGPD para identificar y mitigar los riesgos que las actividades de tratamiento pueden suponer para los derechos y libertades de las personas físicas. En España, la AEPD ha publicado guías y herramientas específicas para facilitar su realización, y ha sancionado a organizaciones que omitieron esta evaluación cuando era obligatoria. En 2025, la AEPD impuso 299 sanciones con un importe total cercano a 40 millones EUR, y la ausencia de evaluación de impacto fue citada como factor agravante en múltiples resoluciones.
Esta guía práctica explica cuándo es obligatoria la evaluación de impacto RGPD, qué metodología seguir, qué contenido mínimo debe incluir y cómo integrarla en el programa general de cumplimiento de la organización.
¿Cuándo es obligatoria la evaluación de impacto RGPD?
El artículo 35 del RGPD establece que la evaluación de impacto es obligatoria cuando un tratamiento, especialmente si utiliza nuevas tecnologías, entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas. El reglamento enumera tres supuestos específicos en los que la EIPD es siempre necesaria.
Supuestos obligatorios del RGPD
La evaluación de impacto resulta obligatoria cuando se realice una evaluación sistemática y exhaustiva de aspectos personales basada en un tratamiento automatizado, incluida la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos. También es necesaria cuando se traten a gran escala categorías especiales de datos o datos relativos a condenas e infracciones penales, y cuando se lleve a cabo una observación sistemática a gran escala de una zona de acceso público.
Listas de la AEPD
La AEPD, en cumplimiento del artículo 35.4 del RGPD, ha publicado su propia lista de tratamientos que requieren EIPD, que incluye supuestos adicionales como el tratamiento de datos biométricos para identificación, el tratamiento de datos de geolocalización que permitan elaborar perfiles detallados, tratamientos que impliquen la toma de decisiones automatizadas con efectos significativos, tratamientos que supongan una monitorización del rendimiento laboral de los empleados y tratamientos a gran escala de datos de menores.
La combinación de dos o más criterios de riesgo incrementa la probabilidad de que la evaluación de impacto sea obligatoria. Las directrices del CEPD sobre EIPD recomiendan realizarla siempre que existan dudas, ya que su realización voluntaria constituye una buena práctica y nunca es contraproducente. En febrero de 2026, la AEPD publicó sus orientaciones sobre inteligencia artificial agéntica, en las que subraya que los sistemas de IA capaces de actuar de forma autónoma alteran los flujos de datos tradicionales y hacen que la evaluación de impacto resulte aún más imprescindible antes de su despliegue (AEPD, 18 de febrero de 2026).
Contenido mínimo de la evaluación de impacto
El artículo 35.7 del RGPD establece los elementos que toda evaluación de impacto debe contener como mínimo. Estos requisitos configuran la estructura base del informe.
Elementos obligatorios
Toda evaluación de impacto RGPD debe incluir una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluyendo, en su caso, el interés legítimo perseguido. Además, debe contener una evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento en relación con su finalidad, una evaluación de los riesgos para los derechos y libertades de los interesados y las medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.
Metodología práctica
La AEPD ha desarrollado una herramienta gratuita de análisis de riesgos y evaluación de impacto que facilita el proceso. Una metodología eficaz sigue estas fases: análisis de la necesidad de realizar la EIPD, descripción detallada del tratamiento, identificación y evaluación de riesgos, determinación de medidas de mitigación, consulta al delegado de protección de datos y revisión y aprobación del informe final.
El delegado de protección de datos desempeña un papel esencial en el proceso. El artículo 35.2 del RGPD exige que el responsable recabe el asesoramiento del DPO al realizar la evaluación de impacto.
¿Qué ocurre si no se realiza la evaluación de impacto cuando es obligatoria?
La omisión de la evaluación de impacto cuando es obligatoria constituye una infracción del RGPD que puede dar lugar a sanciones administrativas del nivel inferior, con multas de hasta diez millones de euros o el dos por ciento del volumen de negocio anual global. Sin embargo, en la práctica, la ausencia de EIPD se combina frecuentemente con otras infracciones sustantivas, lo que puede elevar la sanción al nivel superior.
La AEPD ha sancionado a organizaciones que implementaron sistemas de videovigilancia con reconocimiento facial, plataformas de monitorización laboral y tratamientos masivos de datos de salud sin realizar previamente la evaluación de impacto preceptiva. Las sanciones RGPD en estos supuestos han alcanzado importes significativos.
Integración de la evaluación de impacto en el programa de cumplimiento
La evaluación de impacto no debe concebirse como un ejercicio puntual, sino como un componente permanente del sistema de gestión de la protección de datos de la organización. Su integración efectiva requiere un enfoque proactivo y sistemático.
Evaluación continua
La evaluación de impacto debe revisarse y actualizarse cuando se produzcan cambios significativos en el tratamiento, como la incorporación de nuevas tecnologías, la ampliación de las categorías de datos tratados, la modificación de las finalidades o cambios en el contexto normativo. La LOPDGDD refuerza esta obligación de revisión continua en línea con el principio de responsabilidad proactiva.
La inclusión de la evaluación de impacto como elemento recurrente en la checklist RGPD de la organización garantiza que no se omita en ningún proyecto nuevo. Para una visión integral del cumplimiento, consulte nuestra guía sobre cumplimiento RGPD.
¿Se debe consultar a la AEPD antes de tratar los datos?
El artículo 36 del RGPD establece la obligación de consulta previa a la autoridad de control cuando la evaluación de impacto indique que el tratamiento entraña un alto riesgo que el responsable no puede mitigar con medidas apropiadas. En la práctica española, esta consulta previa se dirige a la AEPD, que dispone de un plazo de ocho semanas para emitir su dictamen, ampliable seis semanas adicionales en función de la complejidad del tratamiento.
La consulta previa no es un trámite habitual, sino un mecanismo reservado para los supuestos en los que las medidas de mitigación no consiguen reducir el riesgo a un nivel aceptable. La mayoría de las evaluaciones de impacto concluyen con la identificación de medidas suficientes para gestionar los riesgos sin necesidad de recurrir a la consulta previa.
La gestión adecuada de los derechos ARCO de los interesados debe integrarse como medida de mitigación en toda evaluación de impacto, junto con las medidas de seguridad técnicas y organizativas. Puede consultar también la guía sobre multas RGPD y el derecho de supresión para entender las consecuencias de omitir esta herramienta preventiva.
FAQ
¿Puede realizarse la evaluación de impacto internamente o debe externalizarse?
La evaluación de impacto puede realizarse internamente o con apoyo externo. El RGPD no exige que sea elaborada por un tercero independiente. Lo esencial es que se aplique una metodología rigurosa, se documente adecuadamente y se recabe el asesoramiento del delegado de protección de datos. Muchas organizaciones optan por un modelo mixto en el que el equipo interno lidera el proceso con apoyo de consultores especializados para los aspectos más complejos.
¿Existe una plantilla oficial de evaluación de impacto de la AEPD?
Sí. La AEPD ha publicado una herramienta gratuita denominada Evalúa Riesgo RGPD que guía al usuario a través del proceso completo de análisis de riesgos y evaluación de impacto. Además, el CEPD ha publicado directrices que orientan sobre la metodología y el contenido mínimo. Estas herramientas son un punto de partida útil, aunque pueden necesitar adaptación al contexto específico de cada organización.
¿La evaluación de impacto es obligatoria para todas las empresas?
No. La evaluación de impacto solo es obligatoria cuando el tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas. Muchas actividades de tratamiento habituales en pymes, como la gestión de nóminas o la facturación, no requieren EIPD. Sin embargo, la AEPD recomienda realizar al menos un análisis preliminar de riesgos para todos los tratamientos, de modo que se pueda documentar la decisión de no realizar una evaluación de impacto completa.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
