EIPD y análisis de riesgos

¿Qué es una EIPD y cuándo es obligatoria?

La Evaluación de Impacto en la Protección de Datos (EIPD) es un análisis previo que permite identificar y mitigar los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de las personas. El art. 35 del RGPD establece que es obligatoria cuando el tratamiento "entrañe un alto riesgo" para los derechos y libertades de las personas físicas.

Supuestos en los que es obligatoria

El RGPD menciona tres casos expresos:

1. Evaluación sistemática y exhaustiva de aspectos personales (elaboración de perfiles, scoring, decisiones automatizadas con efectos jurídicos).
2. Tratamiento a gran escala de categorías especiales de datos (art. 9) o de datos relativos a condenas e infracciones penales (art. 10).
3. Observación sistemática a gran escala de una zona de acceso público (videovigilancia masiva).

Además, la AEPD ha publicado una lista de tratamientos que requieren EIPD obligatoria. Para los despachos de abogados, los supuestos más relevantes son:

• Tratamiento de datos de categorías especiales (salud, origen étnico, orientación sexual) a gran escala o de forma sistemática.
• Perfilado de personas para evaluar su situación jurídica.
• Tratamiento que combine múltiples fuentes de datos y genere nuevas inferencias sobre las personas.

¿Cuándo no es obligatoria?

Si el tratamiento no cumple ninguno de los criterios anteriores, no es obligatoria, pero la AEPD recomienda realizar al menos un análisis de riesgos básico para cualquier tratamiento. En la práctica, documentar que has evaluado si procede o no realizar una EIPD ya demuestra diligencia.

Metodología de la AEPD

La AEPD ofrece una guía práctica para realizar la EIPD en seis fases:

1. Descripción del tratamiento: Qué datos se tratan, con qué fin, qué tecnología se usa, quién tiene acceso.
2. Análisis de necesidad y proporcionalidad: ¿Es necesario tratar esos datos concretos? ¿Podría lograrse el mismo fin con datos menos intrusivos o con técnicas de anonimización?
3. Identificación de riesgos: Para cada fase del tratamiento, enumera qué podría salir mal (acceso no autorizado, pérdida, uso indebido, reidentificación).
4. Evaluación de riesgos: Clasifica cada riesgo por probabilidad (baja, media, alta) e impacto (leve, significativo, grave).
5. Medidas de mitigación: Para cada riesgo identificado, define controles técnicos u organizativos (cifrado, control de accesos, formación, políticas internas).
6. Conclusión y plan de acción: Si tras las medidas el riesgo residual sigue siendo alto, debes realizar la consulta previa a la AEPD (art. 36).

Lista de verificación para el despacho

Antes de iniciar un nuevo tratamiento significativo, verifica:

• ¿He descrito el tratamiento de forma completa y documentada?
• ¿Existe una base jurídica clara (art. 6)?
• ¿Cumplo el principio de minimización de datos?
• ¿He evaluado si es necesario realizar una EIPD?
• ¿He identificado los riesgos concretos para los interesados?
• ¿He definido medidas de mitigación proporcionales?
• ¿El riesgo residual es aceptable o debo consultar a la AEPD?

Consulta previa (art. 36 RGPD)

Si después de aplicar todas las medidas de mitigación el riesgo residual sigue siendo alto, el responsable debe consultar a la AEPD antes de iniciar el tratamiento. La AEPD tiene un plazo de 8 semanas (prorrogable a 14) para emitir su dictamen. En la práctica, la consulta previa es muy infrecuente: su necesidad indica que el tratamiento requiere un rediseño significativo.