DPIA Evaluación de Impacto sobre la Protección de Datos.

Una DPIA es el análisis estructurado que el GDPR exige antes de un tratamiento de alto riesgo. Documenta la naturaleza, el alcance, el contexto y las finalidades; evalúa la necesidad y la proporcionalidad; identifica las medidas de mitigación. La CNIL ofrece una herramienta PIA gratuita: úsela. Omitir una DPIA cuando era obligatoria es una de las formas más directas de atraer una visita del regulador.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

Una DPIA es el análisis estructurado que el GDPR exige antes de un tratamiento de alto riesgo. Documenta la naturaleza, el alcance, el contexto y las finalidades; evalúa la necesidad y la proporcionalidad; identifica las medidas de mitigación. La CNIL ofrece una herramienta PIA gratuita: úsela. Omitir una DPIA cuando era obligatoria es una de las formas más directas de atraer una visita del regulador.

Cuándo se requiere una EIPD, y cuándo no

Una Evaluación de Impacto relativa a la Protección de Datos no es un trámite que se produce para cada proyecto. El RGPD la vincula a un único desencadenante: un tratamiento que probablemente entrañe un alto riesgo para los derechos y libertades de las personas. El texto menciona algunas situaciones en las que la evaluación es obligatoria, como la elaboración sistemática y exhaustiva de perfiles que produzca efectos jurídicos o efectos significativos similares, el tratamiento a gran escala de datos de categorías especiales y la observación sistemática a gran escala de una zona de acceso público. Las autoridades de control nacionales publican después sus propias listas de las operaciones que siempre requieren una EIPD, y listas de operaciones que no la requieren.

En la práctica se comienza con un cribado. Contraste con el tratamiento una breve lista de criterios de riesgo, del tipo publicado por el Comité Europeo de Protección de Datos, y cuente cuántos se aplican. Combinaciones como la evaluación o puntuación junto con la toma de decisiones automatizada, o los datos sensibles junto con el tratamiento de datos a gran escala, le hacen superar el umbral. Cuando la respuesta es incierta, la postura defendible consiste en documentar por qué concluyó que no era necesaria una EIPD completa, y no en eludir la cuestión en silencio.

Qué contiene la evaluación

El RGPD fija un contenido mínimo. Una EIPD debe contener una descripción sistemática de las operaciones de tratamiento y de los fines, una evaluación de la necesidad y la proporcionalidad del tratamiento en relación con esos fines, una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas previstas para afrontar esos riesgos, incluidas las garantías y las medidas de seguridad. La CNIL ofrece de forma gratuita una herramienta de software PIA que le guía exactamente a través de esta estructura, y no hay razón para reconstruirla desde cero.

La necesidad y la proporcionalidad son donde la mayoría de las evaluaciones flaquean. Se trata de una prueba jurídica, no de seguridad: ¿es cada campo de datos realmente necesario para el fin declarado, está justificado el plazo de conservación, existe una base jurídica, se garantizan los derechos de los interesados? El análisis de riesgos es la parte de carácter más cercano a la seguridad, y toma prestado directamente de la práctica de gestión de riesgos. Aquí es donde ISO 27005 y EBIOS Risk Manager le proporcionan el vocabulario de las amenazas, los eventos temidos, la probabilidad y la gravedad. Una EIPD evalúa el riesgo para las personas cuyos datos se tratan, no el riesgo para la organización, que es la distinción que hace tropezar a la gente.

Quién la realiza, y cómo se mantiene viva

El responsable del tratamiento es el encargado de llevar a cabo la EIPD. Cuando se designa un Delegado de Protección de Datos, el responsable del tratamiento debe recabar su asesoramiento, y el DPO normalmente revisa la evaluación y supervisa su ejecución. También debe recabar la opinión de los interesados o de sus representantes cuando proceda. Los encargados del tratamiento tienen el deber de asistir. Si, tras la mitigación, el riesgo residual sigue siendo alto y no puede reducirlo, el RGPD exige la consulta previa a la autoridad de control antes de que comience el tratamiento.

Una EIPD es un documento vivo. El responsable del tratamiento debe revisarla cuando se produzca un cambio en el riesgo que representa el tratamiento, por ejemplo un nuevo flujo de datos, una nueva tecnología, un nuevo fin o un nuevo subencargado. Trátela como algo continuo: un ritmo útil consiste en reexaminar las evaluaciones según un ciclo definido y siempre que el diseño cambie, en lugar de archivarlas una vez y olvidarse de ellas.

La EIPD comparada con una evaluación de riesgos general
DimensiónEIPDEvaluación de riesgos de seguridad general
DesencadenanteTratamiento de datos personales de alto riesgoCualquier activo, sistema o proceso dentro del alcance
Objeto del riesgoDerechos y libertades de las personasLa organización y sus activos
Estatuto jurídicoObligatoria conforme al RGPD cuando se desencadenaImpulsada por una política o normas como ISO 27001
Método típicoHerramienta PIA de la CNIL, criterios del EDPB, prueba de necesidadISO 27005, EBIOS Risk Manager
ResultadoMedidas de mitigación más una posible consulta previaPlan de tratamiento y aceptación del riesgo residual

Frequently asked questions

01¿Es obligatoria una EIPD para toda actividad de tratamiento?

No. Solo se requiere cuando el tratamiento probablemente entrañe un alto riesgo para las personas. Primero se realiza un cribado frente a los criterios publicados por su autoridad de control y el EDPB, y se documenta la conclusión del cribado en cualquiera de los dos sentidos.

02¿Cuál es la diferencia entre una EIPD y una PIA?

Describen el mismo ejercicio. EIPD es el término empleado en el RGPD. PIA, Privacy Impact Assessment, es la denominación más amplia y antigua, y es el nombre que la CNIL da a su herramienta de software gratuita.

03¿Qué ocurre si el riesgo residual sigue siendo alto tras la mitigación?

El RGPD exige la consulta previa a la autoridad de control antes de que comience el tratamiento. La autoridad puede asesorar y, cuando el tratamiento infringiría el reglamento, ejercer sus poderes correctivos.

04¿Quién es responsable de llevar a cabo la EIPD?

El responsable del tratamiento. Cuando se designa un DPO, el responsable del tratamiento debe recabar su asesoramiento y el DPO supervisa la ejecución. Los encargados del tratamiento deben asistir, y usted debe recabar la opinión de los interesados cuando proceda.

05¿Cuándo debe revisarse una EIPD?

Siempre que cambie el riesgo que representa el tratamiento: un nuevo fin, un nuevo flujo de datos, una nueva tecnología o un nuevo subencargado. Trátela como un documento vivo sujeto a un ciclo de revisión periódico, no como un ejercicio puntual.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.