- Artículo 35 del RGPD: una EIPD es obligatoria cuando el procesamiento "puede resultar en un alto riesgo" para las personas
- Debe hacerse antes de comenzar el procesamiento, no después de la aplicación
- Tres escenarios siempre requieren un DPIA: perfiles sistemáticos, datos de categoría especial a gran escala, monitoreo público sistemático
- Si el riesgo residual sigue siendo alto después de la mitigación, debe consultar a su autoridad supervisora antes de proceder
A Protección de datos Impact Assessment (DPIA) is a systematic process for identifying and minimising the data protection risks of a new project, system, or change in processing. No es opcional cuando se trata de un procesamiento de alto riesgo: el artículo 35 del RGPD lo hace obligatorio, y el hecho de no conducir uno cuando sea necesario puede atraer la acción reglamentaria.
Relacionados HubSecure
AML/KYC & Guía de embarque cliente de software AML/KYC módulo Comparación de sumsub Guía de software de cumplimiento AML/KYC Guía de la biblioteca
Seguridad relacionada, privacidad y recursos de gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo de guías de consolidación de herramientas y alternativas de espacio de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.
¿Cuándo se requiere un DPIA?
Se requiere un DPIA cuando el procesamiento es "sólo para dar lugar a un alto riesgo" a los derechos y libertades de las personas. GDPR Article 35(3) especifica tres casos que siempre requieren un DPIA:
- Elaboración de perfiles sistemática y extensa con efectos significativos (incluida la toma de decisiones automatizada)
- Procesamiento a gran escala de datos de categorías especiales (salud, biométricos, delitos penales, etc.)
- Monitoreo sistemático a gran escala de áreas de acceso público (CCTV, seguimiento)
Las autoridades nacionales de supervisión publican listas de operaciones de procesamiento que requieren una EIPD en su jurisdicción. El CEPD ha publicado criterios: si se aplican dos o más de los siguientes factores, se debe realizar una EIPD:
- Evaluación o puntuación (incluida la elaboración de perfiles)
- Toma de decisiones automatizada con efecto significativo
- Supervisión sistemática
- Datos sensibles o datos de carácter altamente personal
- Datos procesados a gran escala
- Combinación o combinación de conjuntos de datos
- Datos sobre sujetos vulnerables (niños, empleados, pacientes)
- Uso innovador de la tecnología (AI, biometría, IoT)
- Procesamiento que impide a las personas ejercer derechos o acceder a los servicios
Cuestiones de tiempo: Un DPIA debe completarse antes de comenzar el procesamiento. Realizarla retrospectivamente, después de la aplicación, no satisface el requisito y no puede deshacer una violación que ya ha ocurrido.
Lo que un DPIA debe contener
GDPR Article 35(7) sets out the minimum content:
- Descripción del procesamiento - qué datos, con qué propósito, por qué medios, por quién
- Evaluación de la necesidad y proporcionalidad — ¿es necesario y proporcional el procesamiento al propósito?
- Evaluación de los riesgos - a los derechos y libertades de los sujetos de datos, incluida la probabilidad y la gravedad
- Medidas para abordar los riesgos: salvaguardias técnicas y organizativas, con evaluación residual del riesgo
Cómo realizar un DPIA: paso a paso
Paso 1: Identificar la necesidad
Revise el procesamiento propuesto contra los criterios anteriores. Si se aplican dos o más factores, proceda con un DPIA completo. Documente la decisión de selección aunque concluya un DPIA no es necesaria.
Paso 2: Describir el procesamiento
Mapear los flujos de datos: qué datos personales se recopilarán, de quién, cómo se almacenará, quién tendrá acceso, qué decisiones se tomarán, y a quién se puede revelar. Incluir subprocesadores.
Paso 3: Evaluar la necesidad y la proporcionalidad
¿Hay una forma menos invasiva de privacidad para lograr el mismo propósito? ¿Podría utilizar menos datos, datos anónimos o procesar datos localmente en lugar de enviarlos a la nube? Documenta tu razonamiento.
Medida 4: Determinar y evaluar los riesgos
Para cada riesgo, evalúe la probabilidad y gravedad del daño potencial a las personas. Los daños incluyen: incapacidad para acceder a servicios, pérdidas financieras, daños de reputación, discriminación, robo de identidad, pérdida de confidencialidad de los datos de privilegios profesionales.
Paso 5: Determinar las medidas de mitigación
Para cada riesgo, identifique controles técnicos y organizativos que reduzcan la probabilidad o gravedad. Ejemplos: cifrado, controles de acceso, pseudonymización, capacitación del personal, salvaguardias contractuales, minimización de datos.
Paso 6: documentar el riesgo residual y decidir
Después de aplicar mitigación, ¿qué riesgo queda? Si el riesgo residual es aceptable, puede proceder y debe documentar esta conclusión. Si el riesgo residual sigue siendo alto, debe consultar a su autoridad supervisora antes de procesarlo.
Paso 7: Involucrar el DPO y los temas de datos
Cuando se designe un DPO, debe solicitarse su consejo. También deben recabarse las opiniones de los interesados o de sus representantes cuando sea posible (párrafo 9 del artículo 35).
Documento de vida: Un DPIA no es un ejercicio único. Debe revisarse y actualizarse cada vez que la naturaleza, el alcance, el contexto o los fines del procesamiento cambien significativamente, incluso cuando adopte nueva tecnología o se expanda a nuevos casos de uso.
¿Es necesario que las PYMES lleven a cabo DPIAs?
Sí, si el procesamiento cumple con los criterios de alto riesgo. La obligación se aplica a todos los controladores, independientemente del tamaño. Las exenciones del RGPD para las PYME se refieren principalmente al Registro de Actividades de Procesamiento (art. 30), no a los PD.
¿Qué es la consulta previa?
Si el DPIA muestra un alto riesgo residual que no puede ser mitigado, el artículo 36 requiere que consulte a su autoridad supervisora antes de comenzar a procesar. La SA tiene hasta 8 semanas (extendibles hasta 14 semanas) para responder con consejos escritos.
Plantillas DPIA y documentación de cumplimiento
El módulo de cumplimiento de HubSecure incluye plantillas de DPIA, marcos de puntuación de riesgos y control de versiones de documentos para mantener sus evaluaciones listas de auditoría.
Reserva una demostraciónRevisión de los equipos regulados
Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.
Autores · Revisores · Política editorial