1. ¿Qué es exactamente una EIPD y por qué mi empresa la necesita?
La Evaluación de Impacto en la Protección de Datos (EIPD) es un análisis técnico y jurídico previo que permite identificar, evaluar y mitigar los riesgos que conlleva un tratamiento de datos personales. La EIPD, regulada en el artículo 35 del RGPD, es un procedimiento obligatorio para tratamientos que probablemente generen alto riesgo para derechos y libertades de personas físicas.
2. ¿En qué casos es obligatorio realizar una EIPD?
No siempre es necesaria, pero sí cuando se cumplen ciertos criterios como:
- Tratamiento de datos biométricos (huella, voz, facial).
- Tratamiento de datos a gran escala.
- Perfilado o seguimiento de comportamiento (especialmente en entornos digitales).
- Observación sistemática a gran escala de una zona de acceso público, como videovigilancia extensa.
En cualquier caso, la AEPD y el Comité Europeo establece la necesidad de una EIPD si hay dos o más factores de riesgo, como uso de nuevas tecnologías, datos biométricos/genéticos, perfiles automatizados o tratamientos con personas vulnerables. En caso de dudas, se recomienda realizarla para demostrar cumplimiento.
3. ¿Qué ocurre si decido lanzar mi proyecto sin hacer la evaluación?
Las consecuencias son graves:
- Sanciones económicas: no realizar una EIPD obligatoria implica infracciones graves según la LOPDGDD, con multas de 40.001 a 300.000 euros, aunque las sanciones máximas del RGPD por incumplimientos graves pueden llegar a 20 millones de euros o el 4% de la facturación global anual.
- Suspensión del tratamiento: la autoridad puede ordenar el cese inmediato del uso de la herramienta o plataforma.
- Daño reputacional: la pérdida de confianza de clientes y socios.
4. ¿Quién es el responsable de elaborar este documento?
La responsabilidad legal recae sobre el Responsable del Tratamiento (la empresa u organización que decide los fines y medios del tratamiento). Conviene realizarla, en el supuesto de que haya sido designado, bajo el asesoramiento del Delegado de Protección de Datos (DPD/DPO).
Si la organización no está obligada a tener DPO (por ejemplo, no realiza tratamientos a gran escala ni datos sensibles de forma habitual), conviene que el responsable del tratamiento involucre o contrate un equipo multidisciplinar que incluya expertos legales y técnicos para lleva a cabo la misma cumplimiento con los requerimientos de la ley.
5. ¿La EIPD es un documento estático o hay que actualizarlo?
Es un documento vivo. Si la tecnología cambia, si se añaden nuevas funcionalidades a la aplicación o si el riesgo detectado evoluciona, la EIPD debe revisarse y adecuarse. No es un trámite de «una sola vez», sino una herramienta de cumplimiento continuo.
¿Te gustaría que revisáramos si alguno de tus tratamientos actuales o futuros requiere una EIPD para evitar riesgos legales?
Artículo escrito por:
Sobre Metricson
Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas. Desde su nacimiento en 2009, ha asesorado a más de 1.400 empresas de 14 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros para cualquier aspecto de asesoramiento fiscal, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
