Gobernar el riesgo, proteger la dignidad - Entrada 8 — Cuándo es obligatoria una EIPD: decidir con método, no con intuición

 

Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 8 — Cuándo es obligatoria una EIPD: decidir con método, no con intuición

La Evaluación de Impacto en Protección de Datos (EIPD/DPIA) no es un trámite que se activa por prudencia, ni un documento que se redacta “por si acaso”. Es una obligación jurídica cuando un tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas.

Determinar si existe ese alto riesgo no es un acto intuitivo: es un juicio estructurado, basado en criterios normativos, técnicos y contextuales.

Esta entrada ofrece un método claro para tomar esa decisión con rigor y defenderla ante auditorías o autoridades.

1. El punto de partida: el análisis de riesgos previo

La EIPD no se decide en abstracto. Se decide después de:

• describir el tratamiento,
• identificar factores de riesgo,
• evaluar el riesgo inherente,
• y valorar si las medidas previstas lo reducen.

Si el riesgo inherente es alto, la EIPD es obligatoria. Si el riesgo inherente es medio o bajo, puede no serlo… pero hay matices.

El análisis previo no sustituye a los criterios normativos: los activa.

2. Tres fuentes normativas que determinan la obligación

La obligación de realizar una EIPD proviene de tres fuentes complementarias.

a) El RGPD (art. 35.3): supuestos que siempre exigen EIPD

El RGPD identifica tratamientos que, por su naturaleza, siempre pueden entrañar alto riesgo:

• evaluación sistemática y exhaustiva de aspectos personales, incluida la elaboración de perfiles,
• decisiones automatizadas con efectos jurídicos o significativamente similares,
• observación sistemática a gran escala de zonas de acceso público,
• tratamiento a gran escala de datos sensibles (salud, biometría, genética, orientación sexual, creencias, etc.).

Si el tratamiento encaja en uno de estos supuestos, la EIPD es obligatoria sin más análisis.

b) La lista de la AEPD: tratamientos que requieren EIPD en España

La AEPD publica una lista de tratamientos que siempre requieren EIPD. Ejemplos típicos:

• sistemas de reconocimiento facial,
• geolocalización continua,
• análisis masivo de comportamiento,
• tratamientos que afecten a colectivos vulnerables,
• uso de IA para decisiones significativas,
• combinación de datos de múltiples fuentes para crear perfiles.

Si el tratamiento aparece en esta lista, la EIPD es obligatoria sin excepción.

c) Las directrices del CEPD: criterios acumulativos

El CEPD identifica nueve criterios que elevan el riesgo. La regla práctica es:

Si un tratamiento cumple dos o más criterios, debe realizarse una EIPD.

Entre ellos:

• uso de nuevas tecnologías,
• datos sensibles o altamente personales,
• tratamiento a gran escala,
• decisiones automatizadas,
• observación sistemática,
• combinación de conjuntos de datos,
• impacto significativo en los interesados,
• tratamiento de colectivos vulnerables,
• transferencias internacionales.

Este enfoque evita decisiones arbitrarias y aporta método.

3. El método operativo: cómo decidir con rigor

Para determinar si la EIPD es obligatoria, el profesional debe seguir un método en cuatro pasos:

Paso 1: Revisar el riesgo inherente

Si es alto → EIPD obligatoria.

Paso 2: Revisar si el tratamiento encaja en el art. 35.3 del RGPD

Si encaja → EIPD obligatoria.

Paso 3: Revisar la lista de la AEPD

Si aparece → EIPD obligatoria.

Paso 4: Revisar los criterios del CEPD

Si cumple dos o más → EIPD obligatoria.

Si ninguno de estos supuestos se cumple, la EIPD puede no ser necesaria, pero la organización debe documentar la decisión.

Este método convierte la intuición en gobernanza.

4. Casos en los que NO es obligatoria una EIPD

La EIPD no es obligatoria cuando:

• el tratamiento es de bajo riesgo,
• no cumple los criterios del RGPD, AEPD o CEPD,
• las medidas aplicadas reducen el riesgo residual a un nivel aceptable,
• y la organización puede justificarlo.

Ejemplos típicos:

• boletines informativos,
• gestión básica de clientes,
• recursos humanos sin datos sensibles,
• videovigilancia no sistemática y proporcional,
• tratamientos internos con bajo impacto.

Pero incluso en estos casos, la organización debe documentar por qué no la realiza.

5. Casos en los que la EIPD es recomendable aunque no sea obligatoria

Hay tratamientos que no alcanzan el umbral de obligatoriedad, pero que se benefician de una EIPD:

• proyectos estratégicos,
• tratamientos con impacto reputacional,
• tratamientos con proveedores críticos,
• tecnologías emergentes,
• tratamientos que pueden evolucionar hacia mayor riesgo.

En estos casos, la EIPD es una herramienta de gobernanza, no una obligación.

6. El error más común: decidir por intuición o por miedo

Dos errores simétricos:

a) No hacer EIPD cuando es obligatoria

Riesgo jurídico grave. La autoridad lo considera una infracción autónoma.

b) Hacer EIPD por miedo, sin análisis previo

Genera documentos inútiles, confusión y desgaste interno.

La decisión debe basarse en método, no en intuición.

7. Documentar la decisión: la clave de la responsabilidad proactiva

La documentación debe incluir:

• análisis de riesgos,
• revisión de criterios del RGPD, AEPD y CEPD,
• justificación de la decisión,
• opinión del DPO,
• y, si procede, revisión periódica.

La autoridad no exige adivinar: exige razonar. Documentar la decisión no es justificar el pasado: es proteger el futuro.

Cierre de la Entrada 8

Determinar si una EIPD es obligatoria es uno de los actos de gobierno más importantes en protección de datos. No es una decisión técnica, sino estratégica. No es una formalidad, sino una garantía.

En la próxima entrada abordaremos el núcleo de la EIPD: el juicio de necesidad y proporcionalidad, la parte más jurídica y más ética del proceso.