🟢 ACTIVO PROTECCIÓN DE DATOS
EIPD / DPIA

Evaluación de Impacto relativa a la Protección de Datos

RGPD art. 35

Evaluación de Impacto relativa a la Protección de Datos (EIPD/DPIA, art. 35 RGPD). El responsable debe realizarla CON CARÁCTER PREVIO cuando un tratamiento pueda entrañar un alto riesgo para los derechos y libertades. La AEPD publica una lista de tratamientos que la requieren (art. 35.4) y otra de los que no (art. 35.5); como criterio práctico se presume el alto riesgo cuando concurren dos o más criterios (perfilado, decisiones automatizadas, observación sistemática, datos sensibles, gran escala, tecnologías nuevas). Debe contener descripción, necesidad y proporcionalidad, evaluación de riesgos y medidas (art. 35.7); el DPO debe asesorar (art. 35.2) y, si el riesgo residual sigue alto, procede consulta previa a la AEPD (art. 36).

Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.

Datos clave

A QUIÉN OBLIGA
Cualquier responsable del tratamiento que vaya a iniciar un tratamiento que pueda entrañar un alto riesgo para los derechos y libertades: videovigilancia extensa, perfilado, decisiones automatizadas, tratamiento a gran escala de datos de salud o biométricos, monitorización laboral, uso de tecnologías nuevas.
SANCIÓN MÁXIMA
RGPD: hasta 10 M€ o el 2 % de la facturación anual mundial (nivel inferior)
EN VIGOR DESDE
Vigente · RGPD aplicable desde 25/05/2018
AUTORIDAD
Agencia Española de Protección de Datos (AEPD)
FUENTE OFICIAL
https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/10-evaluacion-de-impacto

Obligaciones y artículos clave

El agente razona y cita literalmente sobre estos puntos. 5 referencias cargadas en el motor — muestra de 4.

RGPD art. 35.1 · Cuándo es obligatoria
EIPD previa cuando el tratamiento entrañe alto riesgo

El art. 35.1 del RGPD obliga al responsable del tratamiento a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) ANTES de iniciar un tratamiento cuando sea probable que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas. Es una obligación por tratamiento, no por empresa: no todos los tratamientos la requieren (la gestión de nóminas o la facturación habituales no), pero sí los de alto riesgo. Es previa: hacerla después de poner en marcha el tratamiento pierde su sentido preventivo.

RGPD art. 35.4/35.5 · Listas AEPD y criterio de dos o más
Listas de la AEPD y regla práctica de los criterios de alto riesgo

Para facilitar la decisión, la AEPD publica una lista de tipos de tratamiento que REQUIEREN EIPD (art. 35.4) y otra de los que NO la requieren (art. 35.5). Como criterio práctico (directrices del CEPD que la AEPD asume), cuando un tratamiento cumple DOS O MÁS criterios de alto riesgo se presume el alto riesgo y la EIPD resulta obligatoria. Criterios típicos: evaluación o puntuación (perfilado), decisiones automatizadas con efecto jurídico o significativo, observación sistemática, datos sensibles o de naturaleza muy personal, tratamiento a gran escala, asociación/combinación de conjuntos de datos, datos de colectivos vulnerables, uso de tecnologías nuevas o innovadoras, y tratamientos que impiden ejercer derechos o usar un servicio.

RGPD art. 35.7 · Contenido mínimo
Qué debe contener la EIPD

El art. 35.7 fija el contenido mínimo de la EIPD: una descripción sistemática de las operaciones de tratamiento y de sus fines; una evaluación de la necesidad y la proporcionalidad respecto de esos fines; una evaluación de los riesgos para los derechos y libertades de los interesados; y las medidas previstas para afrontar esos riesgos (garantías, medidas de seguridad y mecanismos para proteger los datos y demostrar el cumplimiento). La AEPD ofrece herramientas gratuitas de apoyo y el resultado debe documentarse por escrito y conservarse como evidencia de responsabilidad proactiva (accountability).

RGPD art. 35.2 + 36 · DPO y consulta previa
Asesoramiento del DPO y consulta previa a la AEPD

Cuando el responsable tenga designado un Delegado de Protección de Datos (DPO), debe recabar su asesoramiento al realizar la EIPD (art. 35.2). Si, una vez aplicadas las medidas previstas, el tratamiento sigue presentando un alto riesgo residual, el responsable debe consultar a la autoridad de control (AEPD) con carácter previo al tratamiento (consulta previa del art. 36). La EIPD no es un ejercicio puntual: debe revisarse cuando cambie el tratamiento (nuevos datos, nueva tecnología, nuevo encargado) y mantenerse actualizada.

Qué puedes hacer con este marco en ÆGIS

EVALUACIÓN INTERACTIVA
Árbol de decisión guiado

Un cuestionario adaptativo determina qué obligaciones de EIPD / DPIA aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

Iniciar evaluación →
DOCUMENTOS QUE GENERA · 1
Plantillas legales listas para producir
  • Informe de evaluación de la necesidad de EIPD

Cruces con otros marcos

Estos marcos comparten obligaciones convergentes con EIPD / DPIA. El agente las razona como un sistema, no como silos.

ACTIVO
DPO / DPD
ACTIVO
RGPD + LOPDGDD
ACTIVO
Videovigilancia
ACTIVO
AI Act
Empieza a usar este marco · Pro

29 €/mes · garantía 60 días · sin tarjeta para probar