Evaluación de impacto relativa a la protección de datos: EIPD

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)? ¿Cuándo es necesaria? ¿Es obligatorio realizarla? 

En esta entrada explicamos qué es una EIPD y te proporcionamos una plantilla para llevarla a cabo. 

¿Qué es una Evaluación de Impacto relativa a la Protección de Datos (EIPD)?

Una EIPD es un proceso que puede ayudar a una organización a analizar y minimizar los riesgos relacionados con el tratamiento de datos personales. 

Una EIPD eficaz es una herramienta muy útil para garantizar que las organizaciones cumplan el requisito de “protección de datos desde el diseño”, lo que significa que han adoptado las medidas técnicas y organizativas necesarias para evitar los riesgos de seguridad de los datos. Por eso es importante realizar una Evaluación de Impacto relativa a la Protección de Datos antes de empezar una nueva operación de tratamiento de datos.

Además, una EIPD puede contribuir a mitigar el riesgo de multas, sanciones y daños para la reputación que, en caso de no llevarla a cabo, podrían afectar a la organización.

¿Cuándo es necesario realizar una EIPD?

En el artículo 35 del RGPD se dispone que la EIPD debe realizarse únicamente cuando sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de los usuarios. 

Las operaciones de tratamiento de datos que entrañan un “alto riesgo” son:

• el tratamiento a gran escala de datos sensibles;
• la observación sistemática de una zona de acceso público (p. ej. con cámaras de vigilancia);
• las situaciones en las que se realizan evaluaciones automatizadas y exhaustivas de datos personales para influir en decisiones que produzcan efectos en el usuario o que les afecten significativamente en su vida (elaboración de perfiles).

También se puede exigir una Evaluación de Impacto relativa a la Protección de Datos en otras circunstancias. 

Por ejemplo, cuando se traten datos de personas vulnerables (niños, ancianos, etc.), cuando se transfieran datos fuera de la Unión Europea o cuando se utilicen los datos para la elaboración de perfiles. 

En estos casos cada situación debe evaluarse por separado, aunque siempre puedes consultar estas directrices como referencia.

Si no tienes claro si tus operaciones de tratamiento tienen o no la consideración de “alto riesgo”, te recomendamos realizar la EIPD igualmente. 

Plantilla para realizar una Evaluación de Impacto relativa a la Protección de Datos

De conformidad con la Oficina del Comisionado de Información del Reino Unido (Information Commissioner Office), una EIPD debe:

• describir la naturaleza, el alcance, el contexto y la finalidad del tratamiento;
• evaluar la necesidad de las medidas y su proporcionalidad y conformidad;
• detectar y evaluar los riesgos para las personas físicas; y
• identificar las medidas adicionales que pueden adoptarse para mitigar dichos riesgos.

Redactar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) puede ser complicado, así que una plantilla puede resultar muy útil. 

Haz clic aquí para descargar esta plantilla de EIPD gratuita  (descarga directa en formato .docx)