La DPIA debe hacerse antes del tratamiento, no después. Si el sistema ya está en producción y se descubre que necesita DPIA, hay que ejecutarla retroactivamente y probablemente revisar decisiones de diseño.
Qué es una DPIA
Una DPIA (Data Protection Impact Assessment), llamada en castellano EIPD (Evaluación de Impacto relativa a la Protección de Datos), es un análisis estructurado que valora el riesgo que un tratamiento de datos personales supone para los derechos y libertades de las personas afectadas. Está regulada en el artículo 35 del RGPD y es obligatoria cuando es probable que el tratamiento entrañe alto riesgo: tratamiento sistemático y exhaustivo de aspectos personales mediante decisiones automatizadas, tratamiento a gran escala de categorías especiales de datos, observación sistemática de zonas accesibles al público a gran escala, y cualquier otro supuesto que la AEPD haya publicado en su lista oficial.
Por qué importa
Saltarse una DPIA cuando es obligatoria es una de las infracciones que la AEPD sanciona de forma más directa. Pero más allá del cumplimiento, una DPIA bien hecha es la mejor forma de detectar riesgos de privacidad antes de que el tratamiento esté en producción, cuando todavía se pueden corregir sin coste material. Para tratamientos sujetos a NIS2 o DORA que también manejan datos personales (la mayoría), la DPIA conecta el análisis de riesgo de privacidad con el de seguridad, evitando que cada área genere documentación inconexa. La AEPD publica una guía y plantillas oficiales que sirven de referencia metodológica.
Puntos clave
Si la DPIA concluye que el riesgo residual sigue siendo alto pese a las medidas previstas, hay que consultar a la AEPD antes de iniciar el tratamiento (artículo 36 RGPD). Es un trámite que la mayoría de organizaciones quieren evitar — y la forma de evitarlo es elegir medidas adecuadas.
Los actores son tres: responsable del tratamiento (decide), DPO (asesora), y los afectados o sus representantes (deben ser consultados cuando sea apropiado).
DPIA + análisis de riesgos de seguridad pueden y deben converger metodológicamente. Mismas amenazas, distinto enfoque: la DPIA mira el impacto sobre la persona, el análisis de riesgo de seguridad mira el impacto sobre la organización.
Ejemplo: DPIA para implantación de videovigilancia con reconocimiento facial
Una empresa quiere implantar cámaras con reconocimiento facial en sus instalaciones. Antes de comprar el sistema, ejecuta DPIA. Identifica: tratamiento sistemático de datos biométricos (categoría especial, art. 9), observación sistemática de zona accesible. Es claramente alto riesgo y la DPIA es obligatoria. Documenta finalidad (control de accesos), base jurídica (interés legítimo o consentimiento según contexto), proporcionalidad (¿hay alternativas menos invasivas como tarjeta o PIN?), medidas técnicas (retención mínima, cifrado, segregación), derechos de los afectados (cómo se ejerce el derecho de acceso o supresión). Si concluye que el riesgo residual sigue siendo alto pese a las medidas, consulta a la AEPD. Sin DPIA, el proyecto se habría desplegado y, ante una denuncia, la sanción sería significativa.
Errores habituales
- Hacer una DPIA solo formal, sin profundidad real. Una lista de comprobación marcada con «sí» en todo, sin análisis verdadero, no protege ni a los afectados ni a la organización ante inspección.
- Confundir DPIA con análisis de riesgos de seguridad. El análisis de riesgos mira impacto sobre la organización (continuidad, reputación, económico). La DPIA mira impacto sobre el individuo (intimidad, dignidad, no discriminación). Son complementarias.
- No actualizar la DPIA cuando el tratamiento cambia. Cambio de finalidad, ampliación de datos tratados, nuevo subencargado en otro país, cambio tecnológico relevante — cualquiera de esos eventos exige revisión.
- Saltarse la consulta a los afectados o sus representantes cuando «sea apropiado». El RGPD no obliga siempre, pero cuando aplica y no se hace, la AEPD lo considera un déficit metodológico.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuándo es obligatoria una DPIA?
Cuando el tratamiento es probable que entrañe alto riesgo para los derechos y libertades de los afectados. El RGPD da tres supuestos automáticos (decisiones automatizadas a gran escala, datos especiales a gran escala, observación sistemática a gran escala) y la AEPD publica una lista oficial de tratamientos adicionales que la requieren.
¿Cuánto tiempo lleva ejecutar una DPIA?
Depende del tratamiento. Una DPIA sencilla puede completarse en 2-4 semanas. Una DPIA sobre sistemas complejos con varios subencargados, transferencias internacionales y decisiones automatizadas puede requerir 2-3 meses incluyendo consulta a afectados.
¿Quién firma la DPIA?
El responsable del tratamiento. El DPO no la firma sino que asesora y emite un dictamen recogido en el propio documento. Si el responsable decide ignorar el dictamen del DPO, esa decisión y su justificación deben quedar documentadas — la AEPD lo revisa en inspección.