En una frase. Una plantilla EIPD conforme al art. 35 RGPD tiene cuatro secciones obligatorias: descripción sistemática del tratamiento, evaluación de necesidad y proporcionalidad, análisis de riesgos para los derechos de los interesados y medidas para mitigarlos; abajo la desarrollamos campo a campo siguiendo la Guía de la AEPD.
La evaluación de impacto relativa a la protección de datos (EIPD) es obligatoria antes de iniciar tratamientos que probablemente entrañen un alto riesgo. No es un trámite: es el documento que la AEPD exige ver primero cuando investiga un tratamiento de riesgo. Esta plantilla estructura una EIPD válida y le indica cuándo debe realizarla.
Puntos clave
- El art. 35.1 RGPD obliga a realizar una EIPD cuando un tratamiento probablemente entrañe un alto riesgo para los derechos y libertades.
- El art. 35.3 fija tres supuestos automáticos: evaluación sistemática (perfilado), tratamiento a gran escala de datos del art. 9, y observación sistemática de zonas de acceso público.
- La AEPD publica su propia lista de tratamientos que requieren EIPD (art. 35.4) y otra de exentos (art. 35.5).
- La EIPD debe realizarse antes del tratamiento y contar con el asesoramiento del DPO si existe.
- Si el riesgo residual sigue siendo alto, hay que consultar previamente a la AEPD (art. 36).
1. Cuándo es obligatoria una EIPD
El criterio general del art. 35.1 es el “alto riesgo probable”. Para concretarlo, el CEPD (antiguo Grupo del Artículo 29) definió nueve criterios en sus Directrices sobre la EIPD; cuando concurren dos o más, se presume alto riesgo: evaluación o puntuación, decisiones automatizadas con efecto jurídico, observación sistemática, datos sensibles o muy personales, tratamiento a gran escala, cruce de conjuntos de datos, datos de colectivos vulnerables, uso innovador de tecnología, y tratamientos que impiden ejercer un derecho.
Además, la AEPD ha publicado su lista oficial del art. 35.4. Si su tratamiento aparece en ella, la EIPD es obligatoria sin más análisis. Antes de la EIPD conviene tener resuelto el registro de actividades de tratamiento, porque la descripción del tratamiento se apoya en él.
2. Estructura de la plantilla EIPD
La Guía de gestión del riesgo y EIPD de la AEPD (2021) y su herramienta gratuita Gestiona EIPD organizan el documento en las secciones que reproduce esta plantilla.
| Sección | Contenido | Referencia |
|---|---|---|
| 1. Descripción | Finalidades, categorías de datos e interesados, flujos, encargados, plazos | Art. 35.7.a |
| 2. Necesidad y proporcionalidad | Base de legitimación, minimización, información, derechos | Art. 35.7.b |
| 3. Riesgos | Identificación, probabilidad e impacto de amenazas | Art. 35.7.c |
| 4. Medidas | Controles técnicos y organizativos, riesgo residual | Art. 35.7.d |
Sección 1 — Descripción sistemática
Describa el tratamiento como si tuviera que explicárselo a un inspector: qué datos, de quién, para qué, quién accede, qué encargados intervienen y con qué contrato, dónde se alojan y cuánto se conservan. Aquí es donde se conecta con los plazos de conservación y con los contratos de encargado.
Sección 2 — Necesidad y proporcionalidad
Justifique la base de legitimación elegida, demuestre la minimización (que no recoge más datos de los precisos) y describa cómo informa a los interesados y cómo atiende sus derechos. Esta sección es la que más suspende: muchos tratamientos de alto riesgo carecen de una base sólida.
Sección 3 — Análisis de riesgos
Identifique amenazas concretas (acceso no autorizado, pérdida, uso desviado, reidentificación) y valore para cada una su probabilidad y su impacto sobre los interesados, no sobre la empresa. El resultado es un mapa de riesgos priorizado.
Sección 4 — Medidas y riesgo residual
Por cada riesgo relevante, indique la medida técnica u organizativa que lo mitiga (cifrado, seudonimización, control de acceso, formación) y recalcule el riesgo residual. Si tras las medidas sigue siendo alto, active la consulta previa del art. 36.
3. Ejemplos de tratamientos que exigen EIPD en España
Conviene traducir los criterios abstractos a supuestos reales. Estos son tratamientos en los que, con carácter general, la EIPD resulta obligatoria:
- Videovigilancia con reconocimiento facial o análisis biométrico. El caso Mercadona (sanción de la AEPD de 2,52 millones EUR, 2021) por un sistema de reconocimiento facial en tiendas ilustra el riesgo de desplegar biometría sin una evaluación previa sólida.
- Sistemas de scoring o perfilado que adopten decisiones con efectos jurídicos o significativos (concesión de crédito, selección de personal automatizada).
- Tratamiento a gran escala de datos de salud en centros sanitarios, aseguradoras o aplicaciones de bienestar.
- Geolocalización sistemática de empleados o de usuarios de una aplicación.
- Uso de tecnologías innovadoras (IA, IoT, análisis de emociones) aplicadas a datos personales.
En todos ellos, la EIPD no es un formalismo: es la herramienta que obliga a la organización a preguntarse, antes de invertir, si el tratamiento es proporcionado y qué medidas lo hacen tolerable. Un mal resultado en la fase de necesidad y proporcionalidad debe llevar a rediseñar el tratamiento, no a maquillar el documento.
4. La EIPD como documento vivo
La EIPD no se archiva y se olvida. El art. 35.11 RGPD exige revisarla cuando cambie el riesgo que representa el tratamiento: nueva finalidad, nuevo proveedor, mayor volumen de datos o un incidente de seguridad. Una EIPD de hace tres años que no refleja el sistema actual tiene escaso valor probatorio ante la AEPD. Por eso conviene fechar cada versión, registrar quién la aprobó y vincularla a la actividad correspondiente del registro de tratamientos.
5. Errores frecuentes que detecta la AEPD
El primero es hacer la EIPD después de haber lanzado el tratamiento: el art. 35.1 exige que sea previa. El segundo es copiar una plantilla genérica sin adaptar riesgos ni medidas al caso concreto. El tercero es confundir el riesgo para la empresa con el riesgo para los interesados. Mantener las EIPD vivas y vinculadas al registro es tedioso manualmente; una plataforma como Legiscope enlaza cada EIPD con la actividad de tratamiento correspondiente y avisa cuando un cambio en el tratamiento obliga a revisarla.
Documentar bien la EIPD es, además, una prueba directa de responsabilidad proactiva (accountability) que refuerza cualquier auditoría RGPD.
FAQ
¿Cuándo es obligatoria una EIPD?
Cuando el tratamiento probablemente entrañe un alto riesgo (art. 35.1 RGPD), y siempre en los tres supuestos del art. 35.3 y en los tratamientos incluidos en la lista del art. 35.4 publicada por la AEPD. Ante la duda, es prudente realizarla y documentar la decisión.
¿Quién debe realizar la evaluación de impacto?
La realiza el responsable del tratamiento, que debe recabar el asesoramiento del delegado de protección de datos si lo tiene designado (art. 35.2). Puede apoyarse en el encargado, pero la responsabilidad última es del responsable.
¿Qué pasa si el riesgo sigue siendo alto tras las medidas?
Debe realizar una consulta previa a la AEPD antes de iniciar el tratamiento (art. 36 RGPD). La autoridad dispone de ocho semanas, ampliables, para pronunciarse por escrito.
¿Sirve la herramienta Gestiona EIPD de la AEPD?
Sí, es una herramienta gratuita útil para pymes que guía la elaboración de la EIPD según la metodología de la propia AEPD. Para organizaciones con muchos tratamientos suele quedarse corta y conviene un software de cumplimiento que centralice todas las evaluaciones.
¿Debe publicarse o comunicarse la EIPD a la AEPD?
No, la EIPD no se publica ni se remite de oficio a la AEPD; es documentación interna de responsabilidad proactiva. Solo se comunica en el marco de una consulta previa (art. 36) o cuando la autoridad la requiere en una inspección. Sí conviene informar de sus conclusiones a los afectados cuando ello refuerce la transparencia del tratamiento.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial