Gobernar el riesgo, proteger la dignidad - Entrada 10 — Documentación, transparencia y consulta previa: el cierre responsable de la EIPD


 

Gobernar el riesgo, proteger la dignidad

“Evaluaciones de Impacto y Gestión del Riesgo en Protección de Datos: una guía práctica desde el Compliance”

Entrada 10 — Documentación, transparencia y consulta previa: el cierre responsable de la EIPD

Una Evaluación de Impacto no termina cuando se valora el riesgo residual. Termina cuando la organización documenta, explica y, si es necesario, consulta. Es el momento en el que el análisis se convierte en un acto de responsabilidad pública.

El RGPD no exige que las organizaciones sean perfectas. Exige que sean responsables, transparentes y capaces de justificar sus decisiones.

Esta entrada explica cómo cerrar correctamente una EIPD y cómo demostrar que el tratamiento puede ejecutarse sin comprometer los derechos y libertades de las personas.

1. Documentar la EIPD: claridad, trazabilidad y defensa

La documentación no es un requisito formal. Es la prueba de que la organización ha actuado con criterio.

Una EIPD bien documentada debe incluir:

a) Descripción completa del tratamiento

Finalidad, ciclo de vida, activos, actores, escenarios.

b) Análisis de necesidad y proporcionalidad

El juicio ético‑jurídico que legitima el tratamiento.

c) Identificación de factores de riesgo

No listas genéricas: factores reales del tratamiento.

d) Evaluación del riesgo inherente

Probabilidad e impacto razonados, no numéricos.

e) Medidas de mitigación

Diseño, organización, técnica, proveedores, IA.

f) Valoración del riesgo residual

El momento de la verdad.

g) Opinión del DPO

Obligatoria, documentada y con peso real.

h) Decisión final

¿Se ejecuta el tratamiento? ¿Se modifica? ¿Se detiene?

La documentación debe ser comprensible, coherente y defendible. Documentar es el acto interno de responsabilidad; la transparencia es su reflejo externo.

2. Transparencia: explicar sin revelar vulnerabilidades

La transparencia es un principio estructural del RGPD. Pero no exige publicar la EIPD completa.

La organización debe comunicar:

  • la existencia del tratamiento,
  • su finalidad,
  • su lógica general,
  • los derechos del interesado,
  • y las garantías aplicadas.

La organización no debe comunicar:

  • detalles técnicos que comprometan la seguridad,
  • información sensible sobre vulnerabilidades,
  • análisis internos que puedan ser explotados.

La transparencia no es exposición: es confianza.

3. La consulta previa: el mecanismo de seguridad del RGPD

Si, después de aplicar medidas, el riesgo residual sigue siendo alto, la organización no puede ejecutar el tratamiento sin consultar previamente a la autoridad de control.

Este es uno de los puntos más desconocidos y más importantes del RGPD.

Cuándo es obligatoria la consulta previa

  • cuando el riesgo residual es alto,
  • cuando las medidas no reducen el riesgo a un nivel aceptable,
  • cuando el tratamiento afecta gravemente a derechos fundamentales,
  • cuando el DPO lo recomienda expresamente.

La consulta previa no es una sanción: es una garantía institucional.

4. Qué debe enviarse a la autoridad

La AEPD exige:

  • la EIPD completa,
  • la descripción del tratamiento,
  • las medidas aplicadas,
  • la valoración del riesgo residual,
  • la opinión del DPO,
  • y cualquier información adicional relevante.

La autoridad puede:

  • aprobar el tratamiento,
  • exigir medidas adicionales,
  • o prohibirlo.

La consulta previa es un diálogo institucional, no un examen.

5. El papel del DPO en el cierre de la EIPD

El DPO no es un notario. Es un asesor crítico.

Su papel incluye:

  • revisar la EIPD,
  • emitir una opinión motivada,
  • alertar sobre riesgos no mitigados,
  • recomendar medidas adicionales,
  • y, si es necesario, recomendar la consulta previa.

La organización puede no seguir su criterio, pero debe justificarlo.

6. Revisión periódica: la EIPD no es un documento estático

Una EIPD debe revisarse cuando:

  • cambia la finalidad,
  • cambian los datos,
  • cambia la tecnología,
  • cambia el proveedor,
  • cambia la escala del tratamiento,
  • se produce un incidente,
  • o cambia el contexto regulatorio.

Una EIPD sin revisión es una EIPD muerta. Una EIPD viva es una organización viva.

7. El error más común: creer que la EIPD “cierra” el riesgo

La EIPD no cierra nada. Abre un ciclo de gobernanza continua.

El riesgo evoluciona. La tecnología evoluciona. Las expectativas sociales evolucionan. La organización debe evolucionar con ellas.

La EIPD no es un final: es un compromiso permanente.

Cierre de la Entrada 10

Con esta entrada se completa el ciclo operativo de la gestión del riesgo y la Evaluación de Impacto. Hemos recorrido:

  • la descripción del tratamiento,
  • la identificación de riesgos,
  • la valoración del riesgo inherente,
  • la selección de medidas,
  • la valoración del riesgo residual,
  • la EIPD como proceso,
  • el juicio de necesidad y proporcionalidad,
  • y el cierre documental, transparente y responsable.

La serie ha mostrado que la protección de datos no es un trámite, sino una forma de gobernanza. Una forma de civilización interna. Una forma de respeto.

Comentarios