Gobernar el riesgo, proteger la dignidad - Entrada 10 — Documentación, transparencia y consulta previa: el cierre responsable de la EIPD
Gobernar el riesgo,
proteger la dignidad
“Evaluaciones de Impacto y
Gestión del Riesgo en Protección de Datos: una guía práctica desde el
Compliance”
Entrada 10 — Documentación,
transparencia y consulta previa: el cierre responsable de la EIPD
Una Evaluación de Impacto no
termina cuando se valora el riesgo residual. Termina cuando la organización documenta,
explica y, si es necesario, consulta. Es el momento en el que el
análisis se convierte en un acto de responsabilidad pública.
El RGPD no exige que las
organizaciones sean perfectas. Exige que sean responsables, transparentes
y capaces de justificar sus decisiones.
Esta entrada explica cómo
cerrar correctamente una EIPD y cómo demostrar que el tratamiento puede
ejecutarse sin comprometer los derechos y libertades de las personas.
1. Documentar la EIPD:
claridad, trazabilidad y defensa
La documentación no es un
requisito formal. Es la prueba de que la organización ha actuado con
criterio.
Una EIPD bien documentada debe
incluir:
a) Descripción completa del
tratamiento
Finalidad, ciclo de vida,
activos, actores, escenarios.
b) Análisis de necesidad y
proporcionalidad
El juicio ético‑jurídico que
legitima el tratamiento.
c) Identificación de factores
de riesgo
No listas genéricas: factores
reales del tratamiento.
d) Evaluación del riesgo
inherente
Probabilidad e impacto
razonados, no numéricos.
e) Medidas de mitigación
Diseño, organización, técnica,
proveedores, IA.
f) Valoración del riesgo
residual
El momento de la verdad.
g) Opinión del DPO
Obligatoria, documentada y con
peso real.
h) Decisión final
¿Se ejecuta el tratamiento?
¿Se modifica? ¿Se detiene?
La documentación debe ser comprensible,
coherente y defendible. Documentar es el acto interno de
responsabilidad; la transparencia es su reflejo externo.
2. Transparencia: explicar sin
revelar vulnerabilidades
La transparencia es un
principio estructural del RGPD. Pero no exige publicar la EIPD completa.
La organización debe
comunicar:
- la existencia del tratamiento,
- su finalidad,
- su lógica general,
- los derechos del interesado,
- y las garantías aplicadas.
La organización no debe
comunicar:
- detalles técnicos que comprometan la
seguridad,
- información sensible sobre
vulnerabilidades,
- análisis internos que puedan ser
explotados.
La transparencia no es
exposición: es confianza.
3. La consulta previa: el
mecanismo de seguridad del RGPD
Si, después de aplicar
medidas, el riesgo residual sigue siendo alto, la organización no puede
ejecutar el tratamiento sin consultar previamente a la autoridad de
control.
Este es uno de los puntos más
desconocidos y más importantes del RGPD.
Cuándo es obligatoria la
consulta previa
- cuando el riesgo residual es alto,
- cuando las medidas no reducen el riesgo a
un nivel aceptable,
- cuando el tratamiento afecta gravemente a
derechos fundamentales,
- cuando el DPO lo recomienda expresamente.
La consulta previa no es una
sanción: es una garantía institucional.
4. Qué debe enviarse a la
autoridad
La AEPD exige:
- la EIPD completa,
- la descripción del tratamiento,
- las medidas aplicadas,
- la valoración del riesgo residual,
- la opinión del DPO,
- y cualquier información adicional
relevante.
La autoridad puede:
- aprobar el tratamiento,
- exigir medidas adicionales,
- o prohibirlo.
La consulta previa es un diálogo
institucional, no un examen.
5. El papel del DPO en el
cierre de la EIPD
El DPO no es un notario. Es un
asesor crítico.
Su papel incluye:
- revisar la EIPD,
- emitir una opinión motivada,
- alertar sobre riesgos no mitigados,
- recomendar medidas adicionales,
- y, si es necesario, recomendar la consulta
previa.
La organización puede no
seguir su criterio, pero debe justificarlo.
6. Revisión periódica: la EIPD
no es un documento estático
Una EIPD debe revisarse
cuando:
- cambia la finalidad,
- cambian los datos,
- cambia la tecnología,
- cambia el proveedor,
- cambia la escala del tratamiento,
- se produce un incidente,
- o cambia el contexto regulatorio.
Una EIPD sin revisión es una EIPD
muerta. Una EIPD viva es una organización viva.
7. El error más común: creer
que la EIPD “cierra” el riesgo
La EIPD no cierra nada. Abre
un ciclo de gobernanza continua.
El riesgo evoluciona. La
tecnología evoluciona. Las expectativas sociales evolucionan. La organización
debe evolucionar con ellas.
La EIPD no es un final: es un compromiso
permanente.
Cierre de la Entrada 10
Con esta entrada se completa
el ciclo operativo de la gestión del riesgo y la Evaluación de Impacto. Hemos
recorrido:
- la descripción del tratamiento,
- la identificación de riesgos,
- la valoración del riesgo inherente,
- la selección de medidas,
- la valoración del riesgo residual,
- la EIPD como proceso,
- el juicio de necesidad y proporcionalidad,
- y el cierre documental, transparente y
responsable.
La serie ha mostrado que la
protección de datos no es un trámite, sino una forma de gobernanza. Una
forma de civilización interna. Una forma de respeto.

Comentarios
Publicar un comentario