EIPD del RGPD: ¿Cuándo Se Requiere una Evaluación de Impacto Relativa a la Protección de Datos? (2026)

Se requiere una EIPD conforme al artículo 35 del Reglamento (UE) 2016/679 siempre que el tratamiento sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas. Los responsables del tratamiento deben completar la evaluación antes de que comience el tratamiento, no después.
Para una visión general completa del reglamento, consulta qué es el RGPD. Si estás construyendo un programa de cumplimiento, la lista de verificación de cumplimiento del RGPD cubre el conjunto más amplio de obligaciones, y los requisitos del DPO del RGPD explica cuándo debes designar a un Delegado de Protección de Datos para que asesore sobre la EIPD.
¿Qué Es una EIPD Bajo el RGPD?
Una Evaluación de Impacto Relativa a la Protección de Datos es un proceso estructurado y documentado mediante el cual un responsable del tratamiento identifica y evalúa los riesgos para la privacidad creados por una operación de tratamiento planificada y determina las medidas para reducir esos riesgos a un nivel aceptable. El artículo 35(1) del Reglamento (UE) 2016/679 define la obligación: "Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales".
La EIPD sustituye al régimen de notificación previa de la Directiva 95/46/CE. El considerando 89 explica el cambio: el RGPD elimina "la obligación general de notificación" porque el registro generalizado creaba cargas administrativas sin mejorar de forma fiable la protección. En su lugar, el reglamento concentra la atención regulatoria en el subconjunto de operaciones que genuinamente crean un riesgo elevado.
La obligación recae en el responsable. Los encargados pueden asistir, y el artículo 28(3)(f) exige específicamente que el encargado "asista al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36", pero el deber legal pertenece únicamente al responsable.
Una EIPD no es un ejercicio único. El artículo 35(11) exige a los responsables revisar la evaluación "al menos cuando se produzca un cambio del riesgo que representan las operaciones de tratamiento". Un tratamiento evaluado como de bajo riesgo en su diseño puede convertirse en de alto riesgo si cambian la tecnología, la escala, las categorías de datos o el contexto de uso.
¿Cuándo Es Obligatoria una EIPD? El Umbral de Alto Riesgo
La condición que activa la obligación es que el tratamiento sea "probable que entrañe un alto riesgo" para las personas, un estándar predictivo y prospectivo. El responsable debe evaluar si dicho riesgo es probable, no esperar a que se materialice un daño. Las nuevas tecnologías reciben una mención particular en el artículo 35(1) porque tienden a crear riesgos que aún no han sido evaluados ni regidos por una práctica establecida.
El artículo 35(3) proporciona tres categorías explícitas que exigen inherentemente una EIPD. Estas son mínimos, no máximos: otros tipos de tratamiento no enumerados en el artículo 35(3) pueden requerir igualmente una EIPD si se cumple el estándar general de alto riesgo del artículo 35(1).
Artículo 35(3)(a): Elaboración de Perfiles Automatizada Sistemática con Efectos Jurídicos o Significativamente Similares
El artículo 35(3)(a) exige una EIPD para "una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar". Deben estar presentes tres elementos a la vez: la evaluación es sistemática y exhaustiva; el tratamiento es automatizado; y las decisiones resultantes producen efectos jurídicos (cambio de derechos o estatus jurídico) o efectos significativos similares (denegación de empleo, exclusión de un beneficio, deterioro material de las condiciones financieras).
El considerando 71 ofrece ejemplos concretos: solicitudes de crédito en línea, selección automatizada de personal y modelos de fijación de precios de seguros. La categoría también cubre la puntuación algorítmica en la vigilancia predictiva, la detección automatizada de fraude que bloquea la cuenta de un cliente sin revisión humana, y las cadenas de publicidad conductual donde la diferenciación es material.
El principio limitante es "efectos jurídicos o efectos significativos similares". La personalización que cambia el color de una página web o una recomendación de lista de reproducción que no conlleva ninguna consecuencia no alcanza el umbral.
Artículo 35(3)(b): Tratamiento a Gran Escala de Datos de Categoría Especial o de Infracciones Penales
El artículo 35(3)(b) exige una EIPD para "el tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10". Las categorías especiales incluyen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos tratados para identificación única, los datos de salud, y los datos relativos a la vida sexual o la orientación sexual.
El calificativo de gran escala es importante. El considerando 91 explica que un profesional sanitario individual que trata los datos de sus propios pacientes no está realizando un tratamiento a gran escala. WP248 recomienda considerar cuatro factores: el número de interesados; el volumen o la variedad de elementos de datos; la duración de la actividad; y el alcance geográfico. Un sistema hospitalario que trata registros de cientos de miles de pacientes en una red regional cumple claramente el umbral; una clínica de un solo profesional que atiende a unos pocos cientos de pacientes no lo hace.
Artículo 35(3)(c): Observación Sistemática a Gran Escala de Zonas de Acceso Público
El artículo 35(3)(c) exige una EIPD para "la observación sistemática a gran escala de una zona de acceso público". El considerando 91 pone como ejemplo "la observación a gran escala de zonas de acceso público, especialmente si se lleva a cabo con dispositivos optoelectrónicos". Los sistemas de videovigilancia (CCTV) en espacios públicos son el caso paradigmático. El criterio se aplica tanto a entidades privadas como a autoridades públicas. Los sistemas modernos de análisis de vídeo que usan reconocimiento facial o reconocimiento de la marcha caen directamente en esta categoría y activan una consideración adicional conforme al artículo 35(3)(a). Es poco probable que una sola cámara dentro de una pequeña tienda, monitorizada manualmente durante el horario de apertura, sea a gran escala o sistemática. Una red de cientos de cámaras en el centro de una ciudad con análisis automatizados y una retención de varias semanas claramente lo es.
Los Nueve Criterios del CEPD Para el Alto Riesgo
Las directrices WP248 del CEPD (adoptadas en octubre de 2017, refrendadas por el CEPD en mayo de 2018) identifican nueve criterios como indicadores de un probable alto riesgo conforme al artículo 35(1). Ningún criterio individual es determinante por sí solo; la posición del CEPD es que cualquier tratamiento que satisfaga dos o más criterios debe tratarse como que requiere una EIPD.
1. Evaluación o puntuación. El tratamiento evalúa o puntúa a las personas, incluidas la elaboración de perfiles y la predicción, a partir de aspectos como el rendimiento laboral, la situación económica, la salud, las preferencias personales, la fiabilidad, el comportamiento, la ubicación o los desplazamientos.
2. Toma de decisiones automatizada con efectos jurídicos o similares. El tratamiento implica decisiones automatizadas que producen efectos jurídicos o significativamente similares, como en el artículo 35(3)(a).
3. Observación sistemática. El tratamiento implica la observación o el control sistemático de personas, incluidos los datos recopilados a través de redes o la vigilancia encubierta de empleados o consumidores. Abarca la huella digital de dispositivos, el rastreo persistente mediante cookies, la monitorización del tráfico de red y el software de monitorización de empleados.
4. Datos sensibles o de naturaleza altamente personal. El tratamiento implica datos de categoría especial del artículo 9, datos de infracciones penales del artículo 10, datos financieros, datos de ubicación, datos de salud u otros datos cuyo uso indebido podría causar un daño significativo. El CEPD destaca los datos de transacciones financieras como indicador de alto riesgo.
5. Datos tratados a gran escala. Una consideración independiente que aplica el calificativo de gran escala del artículo 35(3)(b) a todos los tipos de datos personales, no solo a las categorías especiales.
6. Cotejo o combinación de conjuntos de datos. El tratamiento combina, cruza o coteja datos de dos o más fuentes distintas de formas que podrían exceder las expectativas razonables de los interesados en el momento en que se recopiló originalmente cada fuente.
7. Datos relativos a interesados vulnerables. El tratamiento implica a personas en una posición de vulnerabilidad respecto al responsable: menores, empleados, pacientes, personas mayores y solicitantes de asilo. Los menores reciben una mención especial porque son "menos conscientes de los riesgos, las consecuencias y las garantías en juego y de sus derechos en relación con el tratamiento de datos personales".
8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas. El tratamiento aplica la tecnología de una forma novedosa (IoT, reconocimiento biométrico, IA, dispositivos conectados) donde las consecuencias sociales o individuales más amplias aún no se han establecido.
9. Tratamiento que impide a los interesados ejercer un derecho o usar un servicio. El tratamiento decide si conceder o denegar el acceso a algo que el interesado tiene derecho o expectativa legítima de recibir: una cuenta bancaria, una prestación pública, tratamiento médico, empleo o vivienda.
Listas Negras de las Autoridades Nacionales de Control Para la EIPD
El artículo 35(4) exige a cada autoridad nacional de control "elaborar y hacer pública una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos en virtud de lo dispuesto en el apartado 1". Estas listas negras son jurídicamente vinculantes dentro de sus jurisdicciones. Los responsables que operan en varios Estados miembros de la UE/EEE deben consultar la lista negra de cada autoridad nacional pertinente, ya que las categorías que activan la obligación pueden diferir.
El artículo 35(5) también permite a las autoridades de control publicar una lista blanca de tipos de tratamiento que no requieren una EIPD. Cuando una entrada de la lista blanca cubre una operación propuesta, no se necesita una EIPD, salvo que circunstancias específicas eleven la operación por encima del umbral general de alto riesgo.
El mecanismo de coherencia del artículo 35(6) se aplica cuando una lista propuesta implica un tratamiento "relacionado con la oferta de bienes o servicios a los interesados, o con la observación de su comportamiento, en varios Estados miembros, o que pueda afectar sustancialmente a la libre circulación de datos personales dentro de la Unión". En ese caso, la autoridad debe usar el mecanismo de coherencia del artículo 63, involucrando al CEPD en el proceso.
Entradas ilustrativas de listas negras de autoridades nacionales seleccionadas: la CNIL francesa incluyó el control de acceso biométrico en los lugares de trabajo, la puntuación predictiva de riesgo social en contextos del sector público, el tratamiento de datos de salud a gran escala y el cotejo automatizado de bases de datos de empleadores y prestaciones sociales. La Conferencia Alemana de Protección de Datos incluyó el tratamiento sistemático de datos de comportamiento de empleados, los registros de salud de pacientes a gran escala y la evaluación crediticia basada en IA. La ICO del Reino Unido (UK GDPR) enumera la elaboración de perfiles a gran escala de menores, el control sistemático de las comunicaciones de los empleados, los datos biométricos para la autenticación del personal y los perfiles de comportamiento de múltiples fuentes.
Los responsables deben consultar la lista actual publicada por cada autoridad de control pertinente, no confiar en un resumen. Las listas se actualizan a medida que el CEPD adopta nueva guía o las autoridades nacionales responden a nuevas tecnologías.
| Operación de Tratamiento | Motivo Aplicable | Ejemplo |
|---|---|---|
| Evaluación crediticia automatizada con decisión de denegación | Art. 35(3)(a) + criterios CEPD 1, 2 | Prestamista fintech que usa ML para aprobar o rechazar solicitudes |
| Reconocimiento facial para el control horario de empleados | Art. 35(3)(b), art. 35(3)(c) + criterios CEPD 3, 4, 8 | Sistema biométrico de asistencia en una plantilla numerosa |
| Análisis de datos de salud a gran escala | Art. 35(3)(b) + criterios CEPD 4, 5 | Red hospitalaria que analiza registros de pacientes con fines de investigación |
| CCTV en toda la ciudad con análisis de vídeo | Art. 35(3)(c) + criterios CEPD 3, 8 | Red de cámaras de ciudad inteligente con análisis de comportamiento automatizado |
| Software de monitorización de la productividad de empleados | Criterios CEPD 3, 7 + lista negra del art. 35(4) | Registro de pulsaciones de teclas y captura de pantalla en trabajadores remotos |
| Perfil de publicidad conductual multiplataforma | Criterios CEPD 1, 5, 6 | Intercambio publicitario que combina datos de navegación, compra y ubicación |
| Puntuación algorítmica de elegibilidad para prestaciones | Art. 35(3)(a) + criterios CEPD 2, 7, 9 | Sistema gubernamental que determina automáticamente el derecho a la ayuda para vivienda |
| Aplicación infantil que trata datos de ubicación y comportamiento | Criterios CEPD 4, 7, 8 | Plataforma educativa gamificada que recopila datos de uso continuos de menores de 16 años |
Qué Debe Contener una EIPD: Artículo 35(7)
El artículo 35(7) establece los requisitos mínimos de contenido. La evaluación debe incluir "como mínimo" cuatro elementos, ampliados en WP248.
| Elemento Exigido (Art. 35(7)) | Qué Debe Cubrir | Preguntas Prácticas a Responder |
|---|---|---|
| (a) Descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, incluido, cuando proceda, el interés legítimo perseguido por el responsable | Describir qué datos se recopilan, de qué fuentes, por qué medios, cómo se usan, por quién, cuánto tiempo se conservan y a quién se divulgan | ¿Qué datos personales se tratan? ¿Cuál es la base jurídica? ¿Quién tiene acceso? ¿Intervienen encargados? |
| (b) Evaluación de la necesidad y proporcionalidad de las operaciones de tratamiento con respecto a su finalidad | Demostrar que el tratamiento es el medio mínimo necesario y proporcional para lograr la finalidad declarada; que se consideraron alternativas menos intrusivas para la privacidad | ¿Podría lograrse la misma finalidad con menos datos, con datos anonimizados, o sin la nueva tecnología? |
| (c) Evaluación de los riesgos para los derechos y libertades de los interesados | Identificar escenarios de riesgo específicos: violaciones de datos, acceso ilícito, reidentificación, decisiones discriminatorias, pérdida del derecho de supresión, efectos disuasorios sobre el comportamiento | ¿Cuál es la probabilidad de cada escenario de riesgo? ¿Cuál es la gravedad del daño si se materializa? |
| (d) Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y demuestren el cumplimiento del RGPD | Describir las medidas técnicas y organizativas para mitigar cada riesgo identificado; indicar el riesgo residual que queda tras aplicar las medidas | ¿Qué cifrado, controles de acceso, seudonimización o medidas de minimización de datos están implementados? ¿Cuál es el riesgo residual? |
Más allá de los cuatro elementos obligatorios, WP248 recomienda documentar también: la identidad y los datos de contacto del responsable y del DPO; las categorías de interesados y de datos personales; los plazos de conservación; un registro de cómo se consultó al DPO; y la fecha de la evaluación y la fecha de revisión programada.
La EIPD es un documento de trabajo. Un resumen de dos páginas que afirme que "se han tomado medidas apropiadas" no es conforme. La posición del CEPD es que el documento debe reflejar una metodología estructurada y repetible, como la metodología de Evaluación de Impacto en la Privacidad de la CNIL, la ISO 29134, o el BSI-Standard 200-2, aunque el reglamento no impone ninguna metodología específica.
¿Quién Es Responsable de la EIPD?
El responsable del tratamiento es legalmente responsable de realizar la EIPD y de la exactitud e integridad de su contenido. Esto no puede delegarse mediante contrato con un encargado o con un proveedor consultor de EIPD.
El artículo 35(2) exige al responsable "recabar el asesoramiento del delegado de protección de datos, cuando haya sido nombrado, al llevar a cabo la evaluación de impacto relativa a la protección de datos". Se trata de una obligación de consulta, no de una transferencia de responsabilidad. El papel del DPO en la EIPD figura en el artículo 39(1)(c), que exige al DPO "ofrecer el asesoramiento que se le solicite en lo relativo a la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de acuerdo con el artículo 35". Si el responsable no sigue el asesoramiento del DPO, debe documentar los motivos.
El artículo 35(9) anima a los responsables a "recabar la opinión de los interesados o de sus representantes acerca del tratamiento previsto". Se trata de una recomendación de buena práctica, no de un requisito obligatorio, pero en el caso de productos orientados al consumidor puede fortalecer la fase de identificación de riesgos.
Los encargados que fabrican productos utilizados por responsables para tratamiento de alto riesgo tienen un interés indirecto. El artículo 28(3)(f) exige al encargado asistir al responsable, y muchos encargados ahora proporcionan documentación de EIPD preelaborada o herramientas de mapeo de flujos de datos como prestación contractual.
Momento: Antes de que Comience el Tratamiento
El artículo 35(1) es inequívoco: la EIPD debe completarse "antes del tratamiento". La evaluación debe estar terminada, los riesgos evaluados, las medidas mitigadoras implementadas (o la consulta previa completada si persiste un riesgo residual alto), y el responsable satisfecho de que el tratamiento puede proceder lícitamente. Todo esto debe hacerse antes de que comience cualquier tratamiento en vivo.
Los responsables deben incorporar la finalización de la EIPD en los cronogramas de los proyectos. Una EIPD iniciada después de la puesta en marcha, o con fecha retroactiva para cubrir un tratamiento ya en curso, no es conforme. Las autoridades de control han criticado expresamente las EIPD posteriores como prueba de que no se ha observado el principio de rendición de cuentas del artículo 5(2).
El considerando 90 establece la secuencia requerida: diseñar el tratamiento; realizar la EIPD; si persiste un riesgo residual alto, consultar a la autoridad de control; solo entonces comenzar el tratamiento.
Para las grandes organizaciones, es común un proceso por fases. Una fase de cribado determina si se necesita una EIPD completa. Cuando el cribado confirma un alto riesgo, sigue la EIPD completa antes de finalizar el diseño del tratamiento. Tanto la ICO como la CNIL publican plantillas de cribado que los responsables pueden usar para documentar el resultado incluso cuando la conclusión sea que no se requiere una EIPD completa.
Flujo de Trabajo Paso a Paso de la EIPD
Paso 1: Identificar la operación de tratamiento y confirmar si se requiere una EIPD. Mapea la operación planificada, incluidos los tipos de datos, los interesados, las finalidades, la base jurídica, la tecnología, el plazo de conservación y las partes involucradas. Aplica la prueba de tres partes: (a) ¿La operación se encuadra en una categoría obligatoria del artículo 35(3)? (b) ¿La lista negra de la autoridad de control cubre este tipo de tratamiento? (c) ¿Se aplican dos o más de los nueve criterios del CEPD? Si la respuesta a cualquiera es sí, se requiere una EIPD. Documenta el resultado en cualquier caso.
Paso 2: Consultar al DPO. Conforme al artículo 35(2), si se ha designado un DPO, comparte el resultado del paso 1, pídele que confirme la metodología y señala las inquietudes legales preliminares. Registra la fecha de la consulta y la respuesta del DPO.
Paso 3: Describir el tratamiento de forma sistemática. Prepara una descripción escrita que cubra: categorías y volumen de datos personales; interesados afectados; método de recopilación; finalidades específicas; base jurídica conforme al artículo 6(1) (y al artículo 9(2) si intervienen categorías especiales); flujo de datos desde la recopilación hasta la eliminación; encargados y subencargados y la relación contractual con cada uno; calendario de conservación; y jurisdicciones de tratamiento.
Paso 4: Evaluar la necesidad y la proporcionalidad. Para cada finalidad de tratamiento, evalúa: si la finalidad podría lograrse sin datos personales, con datos anonimizados o seudonimizados, o con menos datos; si el plazo de conservación es el mínimo necesario; si la base jurídica es la adecuada; y si el tratamiento es coherente con las expectativas razonables de los interesados. Cuando exista una alternativa menos intrusiva, documenta el motivo de elegir la vía más intrusiva.
Paso 5: Identificar y evaluar los riesgos. Para cada elemento del tratamiento, identifica escenarios de riesgo categorizados por su impacto en las personas (incapacidad de ejercer derechos; daño físico, económico o reputacional; trato discriminatorio; pérdida de confidencialidad; reidentificación; efectos disuasorios) y por probabilidad, teniendo en cuenta las garantías existentes. Para cada escenario, registra la calificación de probabilidad, la calificación de gravedad y las medidas mitigadoras existentes.
Paso 6: Identificar y documentar las medidas mitigadoras. Para cada escenario de riesgo medio o alto, identifica medidas adicionales: técnicas (cifrado, seudonimización, minimización de datos, eliminación automatizada, control de acceso, registro de auditoría) y organizativas (formación del personal, obligaciones contractuales de los encargados, procedimientos de respuesta a violaciones, revisiones de acceso, privacidad por defecto). Para cada medida, registra el riesgo residual que quedaría.
Paso 7: Evaluar el riesgo residual global. Si todos los riesgos identificados se han reducido a un nivel bajo o aceptable, la EIPD respalda la decisión de proceder. Si algún escenario de riesgo mantiene un riesgo residual alto, el responsable debe rediseñar el tratamiento para reducirlo, o proceder al paso 8.
Paso 8: Consulta previa con la autoridad de control si persiste un riesgo residual alto. El artículo 36(1) establece: "El responsable del tratamiento consultará a la autoridad de control con anterioridad al tratamiento cuando una evaluación de impacto relativa a la protección de datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo". El tratamiento no puede comenzar hasta que la autoridad haya respondido o haya transcurrido el plazo de consulta.
Paso 9: Documentar, aprobar y registrar la EIPD. La EIPD completada debe ser aprobada por el responsable o un representante designado con autoridad para aceptar el riesgo. Cuando se consultó al DPO, su asesoramiento y la respuesta del responsable deben formar parte del registro. Consérvala como documentación de rendición de cuentas conforme al artículo 5(2).
Paso 10: Establecer un calendario de revisión. El artículo 35(11) exige la revisión "al menos cuando se produzca un cambio del riesgo que representan las operaciones de tratamiento". Incorpora una fecha de revisión en el documento: normalmente entre 12 y 24 meses para operaciones de riesgo moderado y entre 6 y 12 meses para aquellas cercanas al umbral de alto riesgo. Cualquier cambio material en la tecnología, la escala, los tipos de datos, las finalidades o el contexto regulatorio debe activar una revisión intermedia.
Consulta Previa Conforme al Artículo 36
El artículo 36 se activa cuando la EIPD concluye que persiste un riesgo residual alto incluso tras aplicar todas las medidas mitigadoras razonables. El responsable debe entonces consultar a la autoridad de control antes de proceder. El artículo 36(1) usa el "consultará" imperativo.
Al presentar una solicitud de consulta previa, el responsable debe proporcionar los materiales enumerados en el artículo 36(3): las responsabilidades respectivas del responsable y del encargado; las finalidades y los medios del tratamiento previsto; las medidas y garantías para proteger a los interesados; los datos de contacto del DPO; la EIPD completada; y cualquier otra información que solicite la autoridad.
La autoridad de control dispone de hasta ocho semanas para proporcionar asesoramiento por escrito conforme al artículo 36(2), ampliable seis semanas más para tratamientos particularmente complejos. Durante el periodo de consulta, la autoridad puede usar "cualquiera de los poderes mencionados en el artículo 58", incluida la emisión de una advertencia formal, la imposición de una prohibición temporal de tratamiento, o el inicio de procedimientos de infracción.
La consulta previa no es una aprobación regulatoria previa ni un puerto seguro. Una autoridad de control que no se opone dentro del plazo de consulta no ha aprobado afirmativamente el tratamiento. El responsable sigue siendo legalmente responsable del cumplimiento del RGPD. Sin embargo, una consulta previa completada crea un registro contemporáneo de que el responsable identificó el riesgo residual, lo divulgó a la autoridad competente y no recibió instrucciones de detenerse.
El artículo 36(4) exige a los Estados miembros consultar a la autoridad de control "durante la preparación de una propuesta de medida legislativa que deba adoptar un parlamento nacional... que guarde relación con el tratamiento", el equivalente del mismo principio en el sector público.
Consecuencias de No Realizar una EIPD Requerida
El incumplimiento de realizar una EIPD requerida constituye una infracción directa del artículo 35. Conforme al artículo 83(4), las infracciones de los artículos 35 y 36 están sujetas al nivel inferior de multa administrativa: hasta 10 millones de euros, o el 2% de la facturación mundial anual total, lo que sea mayor. La multa se aplica por infracción y por establecimiento.
Tanto la AEPD española como la autoridad de control húngara han emitido decisiones en las que la ausencia de una EIPD para un tratamiento de alto riesgo figuraba entre las infracciones señaladas. Los informes anuales del CEPD identifican el cumplimiento de la EIPD como una de las deficiencias más frecuentes durante las inspecciones.
Más allá del riesgo directo de multa, la ausencia de una EIPD crea problemas de rendición de cuentas en cadena. Un responsable que no puede presentar una EIPD para un tratamiento claramente de alto riesgo no puede demostrar el cumplimiento del artículo 5(2) ni de la obligación de implementar medidas técnicas y organizativas apropiadas conforme al artículo 24(1). La ausencia del documento es en sí misma prueba de un fallo sistémico.
Los encargados que operan bajo acuerdos del artículo 28 se ven cada vez más obligados por los responsables a certificar su cooperación con los procesos de EIPD. Los encargados que no pueden documentar sus flujos de datos, subencargados y arquitectura de seguridad crean brechas de cumplimiento para sus clientes responsables.
Interacción con Otras Disposiciones del RGPD
Protección de datos desde el diseño y por defecto (artículo 25). El artículo 25(1) exige a los responsables implementar medidas diseñadas para aplicar los principios de protección de datos e integrar las garantías necesarias en el tratamiento. La EIPD es el mecanismo principal para identificar cuáles deben ser esas medidas en el tratamiento de alto riesgo, alimentando directamente el proceso de privacidad desde el diseño.
Registros de actividades de tratamiento (artículo 30). La EIPD debe cotejarse con el registro del artículo 30. El registro es el inventario; la EIPD es el análisis profundo para las entradas de alto riesgo.
Seguridad del tratamiento (artículo 32). El artículo 32(1) exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. La evaluación de riesgos de la EIPD es la base natural para el análisis del artículo 32. Los responsables que tratan estos como ejercicios separados a menudo descubren que su evaluación de seguridad contradice su EIPD.
Categorías especiales e infracciones penales (artículos 9 y 10). Más allá de activar la EIPD obligatoria del artículo 35(3)(b), la lista más restringida de bases jurídicas permisibles conforme a los artículos 9 y 10 implica que la evaluación de necesidad y proporcionalidad debe analizar con más rigor si la condición específica del artículo 9(2) invocada realmente se aplica a cada elemento del tratamiento.
Transferencias a terceros países (artículos 46-49). Cuando el tratamiento implica transferir datos personales fuera de la UE/EEE, el mecanismo de transferencia debe documentarse en la EIPD y la adecuación de la protección en el país receptor debe incorporarse a la evaluación de riesgos. La sentencia Schrems II (Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems, asunto C-311/18, Gran Sala, 16 de julio de 2020) exige a los responsables realizar una evaluación de impacto de la transferencia para las transferencias que se basan en cláusulas contractuales tipo; esa evaluación debe integrarse con la EIPD o hacerse referencia directa a ella.
Aviso legal: Este artículo presenta información legal general sobre el Reglamento (UE) 2016/679 (RGPD) y no constituye asesoramiento legal. El RGPD es interpretado y aplicado por las autoridades de control en 30 Estados miembros de la UE/EEE, y los requisitos aplicables pueden variar según la naturaleza de tu tratamiento, los Estados miembros en los que operas, y las novedades en la guía regulatoria y la jurisprudencia. La información de esta página se verificó frente a fuentes oficiales en junio de 2026. Consulta a un abogado cualificado o a un especialista en protección de datos habilitado en la jurisdicción pertinente para obtener asesoramiento sobre tu situación específica.
Preguntas frecuentes
¿Cuándo se requiere una EIPD bajo el RGPD?
Se requiere una EIPD conforme al artículo 35(1) cuando el tratamiento es probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas, particularmente al usar nuevas tecnologías. El artículo 35(3) hace obligatorias las EIPD en tres casos: la elaboración de perfiles automatizada sistemática con efectos jurídicos o significativamente similares; el tratamiento a gran escala de datos de categoría especial o de infracciones penales; y la observación sistemática a gran escala de zonas de acceso público. Los responsables también deben consultar la lista negra publicada por su autoridad nacional de control. Cuando se cumplen dos o más de los nueve criterios de alto riesgo del CEPD, la posición del CEPD conforme a WP248 es que debe realizarse una EIPD.
¿Quién es responsable de realizar una EIPD?
El responsable del tratamiento es legalmente responsable de realizar la EIPD. El artículo 35(2) exige al responsable consultar a su Delegado de Protección de Datos designado durante la evaluación si se ha nombrado uno, pero el papel del DPO es consultivo: la responsabilidad de la exactitud e integridad de la EIPD sigue recayendo en el responsable. Los encargados deben asistir a los responsables conforme al artículo 28(3)(f), pero no pueden asumir la responsabilidad legal del responsable. Los responsables no pueden externalizar contractualmente la obligación de la EIPD contratando a un proveedor externo, aunque pueden usar experiencia externa para apoyar el proceso.
¿Qué ocurre si un responsable no realiza una EIPD requerida?
El incumplimiento de realizar una EIPD requerida es una infracción del artículo 35 sujeta a multas administrativas conforme al artículo 83(4) de hasta 10 millones de euros, o el 2% de la facturación mundial anual total, lo que sea mayor. Más allá de la multa directa, la ausencia de una EIPD es prueba de un fallo en implementar medidas técnicas y organizativas apropiadas conforme al artículo 24(1) y un fallo en demostrar el cumplimiento del artículo 5(2). Las autoridades de control que realizan inspecciones o gestionan reclamaciones identifican rutinariamente las EIPD faltantes como una brecha de cumplimiento, y su ausencia puede transformar una única infracción en una conclusión más amplia de fallo sistémico de rendición de cuentas.
¿Es obligatoria una EIPD para la videovigilancia CCTV?
La observación sistemática a gran escala de zonas de acceso público mediante CCTV se encuadra en el motivo obligatorio de EIPD del artículo 35(3)(c). Si una instalación específica cumple los umbrales de gran escala y sistemática depende de los hechos: es poco probable que una sola cámara dentro de una pequeña tienda minorista, monitorizada manualmente durante el horario comercial, requiera una EIPD, mientras que una red de cámaras en un amplio espacio público con análisis automatizados y plazos de conservación extendidos claramente sí la requiere. Los responsables también deben consultar la lista negra de su autoridad nacional de control. Cuando el sistema CCTV incorpora reconocimiento facial o análisis biométrico, también se activarán el artículo 35(3)(a) y (b).
¿Qué es la consulta previa conforme al artículo 36 del RGPD?
La consulta previa es el proceso mediante el cual un responsable debe notificar y consultar a su autoridad de control competente antes de comenzar un tratamiento que, incluso después de aplicar todas las medidas mitigadoras razonables, mantiene un alto riesgo residual para los interesados. La obligación conforme al artículo 36(1) se aplica cuando la EIPD confirma que el alto riesgo residual no puede reducirse adecuadamente. El responsable debe presentar la EIPD completada, una descripción del tratamiento, las garantías implementadas y los datos de contacto del DPO. La autoridad de control tiene hasta ocho semanas para responder, con una posible ampliación de seis semanas para operaciones complejas. La autoridad puede asesorar, emitir advertencias o prohibir el tratamiento si considera que la operación vulneraría el RGPD.
¿Debe presentarse una EIPD a la autoridad de control?
No de forma rutinaria. Una EIPD es un documento interno de rendición de cuentas que el responsable prepara y conserva. Solo se requiere su presentación en dos situaciones: cuando se activa la consulta previa del artículo 36 porque la EIPD revela un riesgo residual alto no mitigable; y cuando una autoridad de control ejerce sus poderes de inspección o investigación y solicita revisar la EIPD. Los responsables deben, por tanto, tratar las EIPD como documentos que las autoridades pueden solicitar en cualquier momento y garantizar que sean detallados, estén bien documentados y actualizados.
¿Puede una sola EIPD cubrir múltiples operaciones de tratamiento?
Sí. El artículo 35(1) se refiere a un 'tipo de operación de tratamiento', y el considerando 92 confirma que una EIPD puede abordar un conjunto de operaciones de tratamiento similares que presenten riesgos altos similares. Una única EIPD que cubra una plataforma que trata datos de múltiples formas comparables es aceptable, siempre que la evaluación aborde los riesgos específicos asociados a cada actividad distinta. De igual forma, las autoridades públicas que establecen infraestructura de tratamiento compartida y los múltiples responsables de la misma industria que implementan una tecnología común pueden realizar una única EIPD, sujeta a que cada responsable revise la evaluación compartida en su propio contexto específico.
¿Con qué frecuencia debe revisarse una EIPD?
El artículo 35(11) exige a los responsables revisar la EIPD 'al menos cuando se produzca un cambio del riesgo que representan las operaciones de tratamiento'. No existe un intervalo calendario fijo en el texto del RGPD, pero WP248 recomienda establecer un calendario de revisión cuando se completa la EIPD, con intervalos típicos de uno a dos años para operaciones de riesgo moderado. Cualquier cambio material en el tratamiento (incluidos nuevos tipos de datos, un aumento significativo de escala, nueva tecnología, una nueva finalidad, nuevos países destinatarios, o un cambio en el contexto legal o regulatorio) debe activar una revisión intermedia. Los responsables deben registrar la fecha de revisión programada en el propio documento de la EIPD.
¿Cuál es el documento de guía del CEPD sobre las EIPD?
La guía principal del CEPD es WP248rev.01, 'Directrices sobre la Evaluación de Impacto relativa a la Protección de Datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo a efectos del Reglamento 2016/679'. Fue adoptada por el Grupo de Trabajo del Artículo 29 el 4 de abril de 2017, revisada el 4 de octubre de 2017, y refrendada por el CEPD en su primera sesión plenaria en mayo de 2018. WP248 establece los nueve criterios de alto riesgo, recomienda que los responsables realicen una EIPD cuando se cumplan dos o más criterios, describe qué debe contener una EIPD, y explica la relación entre la EIPD y la consulta previa. El documento completo está disponible en el sitio web del CEPD en edpb.europa.eu.
¿Se aplican las normas de EIPD del RGPD tanto a los encargados como a los responsables?
La obligación legal de realizar una EIPD recae en el responsable, no en el encargado. Sin embargo, el artículo 28(3)(f) exige que el acuerdo de tratamiento de datos incluya una disposición mediante la cual el encargado asista al responsable a garantizar el cumplimiento de los artículos 32 a 36, lo que incluye expresamente la EIPD y las obligaciones de consulta previa. En la práctica, los encargados deben proporcionar a los responsables información sobre sus flujos de datos, subencargados y arquitectura de seguridad. Se espera cada vez más que los encargados que diseñan productos susceptibles de usarse para tratamiento de alto riesgo produzcan documentación de EIPD preelaborada o plantillas de evaluación de impacto en la privacidad como parte de su oferta de producto.
Fuentes y referencias
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos), artículo 35 (Evaluación de impacto relativa a la protección de datos)(eur-lex.europa.eu)
- Reglamento (UE) 2016/679, artículo 36 (Consulta previa)(eur-lex.europa.eu)
- Reglamento (UE) 2016/679, considerandos 84, 89, 90, 91, 92, 93(eur-lex.europa.eu)
- Grupo de Trabajo del Artículo 29 (WP29), Directrices sobre la Evaluación de Impacto relativa a la Protección de Datos (EIPD) y para determinar si el tratamiento entraña probablemente un alto riesgo, WP248rev.01 (adoptadas el 4 de octubre de 2017, refrendadas por el CEPD en mayo de 2018)(ec.europa.eu)
- Comité Europeo de Protección de Datos, Refrendo de las Directrices WP29, Primera Sesión Plenaria del CEPD (25-26 de mayo de 2018)(edpb.europa.eu)
- Tribunal de Justicia de la Unión Europea, asunto C-131/12, Google Spain SL y Google Inc. contra Agencia Española de Protección de Datos (AEPD) y Mario Costeja González, Gran Sala, 13 de mayo de 2014(eur-lex.europa.eu)
- Tribunal de Justicia de la Unión Europea, asunto C-311/18, Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems (Schrems II), Gran Sala, 16 de julio de 2020(eur-lex.europa.eu)
- Comité Europeo de Protección de Datos, Lista del Artículo 35(4) de Operaciones de Tratamiento que Requieren una EIPD: listas de las autoridades nacionales de control(edpb.europa.eu)
- Information Commissioner's Office (UK GDPR), Evaluaciones de Impacto Relativas a la Protección de Datos(ico.org.uk)
- Commission nationale de l'informatique et des libertés (CNIL), Lista de tratamientos para los que se requiere una AIPD (lista negra de EIPD de la autoridad francesa)(cnil.fr)