Blogs
Showcase
Robert Bateman

¿Qué es una DPIA?

¿Qué es una DPIA?

Rúbrica 2
Rúbrica 3
Compartir este contenido

Una evaluación de impacto sobre la protección de datos (EIPD) es un proceso documentado que le ayuda a detectar y mitigar los riesgos asociados a los datos personales. 

Al realizar una DPIA, deberá:

  • Desglose cómo y por qué pretende tratar datos personales e identifique los tipos de datos implicados.
  • Averiguar los riesgos para la intimidad de las personas y otros derechos.
  • Encontrar mejores formas de hacer las cosas que reduzcan o eliminen los riesgos para la protección de datos.

Una buena DPIA le ayudará a prever y gestionar los riesgos, a mejorar la eficacia reduciendo la recopilación innecesaria de datos y a demostrar a clientes y organismos reguladores que se toma en serio la protección de datos.

Una DPIA es una herramienta muy beneficiosa para cualquiera que esté considerando un nuevo producto o proyecto que implique datos personales.

Es posible que haya oído a la gente utilizar términos como "Evaluación del Impacto sobre la Privacidad (EIP)" y "Evaluación de la Protección de Datos (DPIA)" para describir este proceso. Sin embargo, el término "DPIA" procede del propio RGPD, que establece una serie de normas sobre cuándo y cómo llevar a cabo el proceso.

El RGPD exige una EIPD antes de utilizar datos personales de determinadas formas que entrañan riesgo. Cada Autoridad de Protección de Datos (APD) del Reino Unido, la UE y el Espacio Económico Europeo (EEE) en sentido amplio también proporciona una lista de actividades para las que se requiere una EIPD.

Componentes clave de una evaluación de impacto de la protección de datos

Hay muchas formas de llevar a cabo una DPIA, siempre y cuando se tomen ciertas medidas para garantizar que se están tratando datos personales de forma segura. Por "tratamiento de datos personales" se entiende el uso de información que pueda identificar a personas ("interesados").

Según el artículo 35 del GDPR, una DPIA debe incluir:

  • Descripción sistemática de: algunos textos
    • Las operaciones de tratamiento (lo que piensa hacer con los datos personales).
    • Los fines del tratamiento (por qué pretende recoger o utilizar los datos personales).
    • En su caso, el interés legítimo que persigue (cómo el proyecto sirve a los intereses de su organización y de otras personas).
  • Una evaluación de la necesidad y proporcionalidad (si necesita tratar datos personales para lograr su objetivo y si está tratando la cantidad adecuada de datos personales de forma apropiada).
  • Una evaluación de los riesgos para los derechos y libertades de las personas (el daño potencial a la intimidad de las personas y otros derechos).
  • Medidas para abordar los riesgosincluyendo: algo de texto
    • Garantías
    • Medidas de seguridad 
    • Mecanismos para garantizar la protección de datos y demostrar el cumplimiento del GDPR

En algunos casos, puede que tenga que consultar a las personas afectadas por su proyecto o a la Autoridad de Protección de Datos (APD) local.

A continuación te lo explicamos todo paso a paso.

Ejemplo: Operaciones de tratamiento y fines de Snap

El año pasado, Snap lanzó My AI, una versión de ChatGPT dentro de Snapchat. 

La Oficina del Comisario de Información del Reino Unido (ICO) alegó que Snap no había realizado una DPIA adecuada para My AI y emitió una sanción preliminar del GDPRcontra la empresa. 

Después de que Snap presentara cinco versiones sucesivas de su DPIA, la ICO abandonó el caso. 

La ICO publicó una notificación de decisión en la que se detalla cómo la DPIA de Snap mejoró con el tiempo, por lo que conocemos las opiniones del regulador sobre cómo hacer bien este proceso.

Por un lado, la OIC afirmó que las primeras versiones de la DPIA de Snap no proporcionaban una "descripción sistemática" suficientemente detallada de las "operaciones de tratamiento" y los fines. Esto está relacionado con el primer punto descrito en la sección anterior.

Pero en la versión cinco, esta parte de la DPIA de Snap cumplía los requisitos del GDPR, por las siguientes razones:

  • Snap describió sistemáticamente cómo utilizaba la tecnología ChatGPT de OpenAI para generar los resultados de My AI.
  • Snap prestó más atención al contexto más amplio de su producto, incluidas las preocupaciones públicas sobre la IA generativa.
  • Snap proporcionó estadísticas sobre los usuarios de Snapchat y My AI para ayudar a identificar los riesgos, en particular los que afectan a los niños.
  • Snap dio una detallada desglose de sus objetivos para el tratamiento de datos personales a través de My AI, que incluía: algunos textos
    • Ofrecer una experiencia personalizada,
    • Mejorar el servicio,
    • Difusión de anuncios contextuales,
    • Proporcionar una función orientada a la seguridad.

En el transcurso de sus cinco DPIA, Snap evaluó su producto con mayor detalle y determinó cómo My AI podría afectar a los usuarios de Snapchat. La visión de conjunto ayudó a Snap: 

  • Identificar riesgos nunca vistos
  • Aplicar las salvaguardias adecuadas
  • Evite una multa por GDPR

¿Cuándo es necesaria una DPIA en virtud del GDPR?

La realización de una DPIA es obligatoria en algunas circunstancias

Como parte de una investigación del GDPR, los reguladores pueden exigir ver una copia de su DPIA. Por lo tanto, es especialmente importante que realice una DPIA cuando se le solicite.

He aquí las cuatro fuentes principales que nos indican cuándo es obligatoria una DPIA.

1. El umbral de "alto riesgo probable" del GDPR

A veces, hay que decidir por uno mismo si la DPIA es necesaria

Según el artículo 35 (1), debe realizar una EIPD si es probable que el uso de sus datos personales suponga un alto riesgo para los "derechos y libertades" de las personas, incluidos los derechos a: 

  • Privacidad
  • Protección de datos
  • Otros derechos, como la libertad de expresión y el derecho al trabajo

A la hora de decidir si debe realizar una EIPD, debe tener en cuenta la "naturaleza, alcance, contexto y fines" de sus actividades previstas. Dicho de otro modo: 

  • Qué estás haciendo
  • ¿Cuántos datos personales están implicados?
  • A qué tipo de personas puede afectar
  • Por qué lo hace

Es más probable que tenga que realizar una DPIA si utiliza nuevas tecnologías.

2. Actividades específicas de alto riesgo del GDPR

Además de este umbral de "alto riesgo probable", el artículo 35 (3) del GDPR dice que debe realizar una DPIA si está:

  • Realización de "perfiles sistemáticos y amplios" con efectos significativos. Esto podría incluir actividades como la calificación crediticia, la vigilancia o algunas formas de publicidad basada en el comportamiento.
  • Tratamiento de grandes cantidades de "datos de categoría especial" (incluida información sobre el origen étnico, la salud o las opiniones políticas de las personas) o datos sobre delitos penales.
  • Vigilancia sistemática a gran scale de una zona de acceso público , por ejemplo mediante circuito cerrado de televisión.

3. Orientaciones del Consejo Europeo de Protección de Datos (CEPD)

El Consejo Europeo de Protección de Datos (CEPD) ha adoptado orientaciones que establecen cuándo es probable que se requiera una EIPD, incluyendo las siguientes (entre otras):

  • Evaluación y puntuación. Se trata de utilizar la tecnología para hacer predicciones sobre las personas, como su rendimiento en el trabajo, su situación económica, su salud, sus intereses personales, su fiabilidad, su comportamiento, su ubicación o sus movimientos.
  • Cotejar o combinar conjuntos de datos: Por ejemplo, utilizar dos conjuntos de datos -derivados de dos actividades u organizaciones diferentes- de una forma que la gente no esperaría.
  • Impedir el acceso a servicios: Por ejemplo, cuando un banco utiliza datos de referencia crediticia para decidir si ofrece un préstamo a un cliente.

En la guía se enumeran varios casos más, así que léala si no está seguro de si necesita realizar una DPIA.

4. Listas de actividades de alto riesgo de los reguladores

Por último, cada Autoridad de Protección de Datos (APD ) publica una lista de actividades que requieren una EIPD en su jurisdicción. 

Por ejemplo, éstas son algunas de las actividades que requieren una DPIA según la Comisión Irlandesa de Protección de Datos (DPC):

  • El uso a scale escala de datos personales para fines distintos de aquellos para los que se recogieron originalmente.
  • Sistemáticamente "vigilar, rastrear u observar la ubicación o el comportamiento de las personas".
  • Obtener datos personales de fuentes de terceros (a menos que pueda cumplir los requisitos de transparencia del GDPR al hacerlo).

Guía paso a paso para realizar una EIPD

Como ya se ha señalado, no hay una "única manera" de llevar a cabo una EIPD. Sin embargo, a continuación se ofrece una visión general de lo que debe incluir, con algunos consejos sobre cómo completar cada paso.

Paso 1: Motivo de la EIPD

En primer lugar, debe dejar constancia de por qué está realizando una EIPD, probablementepor alguna de las siguientes razones:

  • Artículo 35 (1): Es "muy probable" que su proyecto suponga un "alto riesgo" para los derechos y libertades de las personas
  • Artículo 35 (3) (a): Elaboración sistemática y exhaustiva de perfiles
  • Artículo 35 (3) (b): Datos de categoría especial o datos sobre infracciones penales
  • Artículo 35 (3) (c): Vigilancia de un lugar público
  • Su proyecto requiere una DPIA de acuerdo con las directrices del EDPB
  • Su proyecto implica una actividad de alto riesgo según lo designado por su Autoridad de Protección de Datos
  • Ninguna de las anteriores

Para obtener más detalles sobre estas condiciones, consulte "¿Cuándo se requiere una DPIA en virtud del GDPR?".

Paso 2: Descripción del tratamiento

En el paso 2 de la DPIA se explica lo que se pretende hacer con los datos personales

El RGPD exige que se tengan en cuenta el origen, el alcance, el contexto y los fines del tratamiento. Más allá de esto, depende de usted el grado de detalle que incluya. 

La mayoría de las EIPD abordan los siguientes puntos:

Tipos de datos de categoría especial o relativos a infracciones penales Origen racial o étnico
Opiniones políticas
Creencias religiosas o filosóficas
Afiliación sindical
¿De quién es la información? Clientes
Empleados
Estudiantes
Clientes potenciales
Naturaleza del tratamiento ¿Qué va a hacer con los datos personales?
¿De dónde los obtendrá?
¿Cómo los almacenará?
Finalidad del tratamiento ¿Por qué se tratan así los datos personales?
¿A quién beneficia y cómo?
Conservación y supresión ¿Cuánto tiempo conservará los datos personales?
¿Cómo se asegurará de que se borren en el momento oportuno?
Otras organizaciones Enumere todas las partes implicadas en el tratamiento, incluidos los encargados del tratamiento, otros responsables del tratamiento, corresponsables del tratamiento y terceros.
Si comparte datos con otras organizaciones o los recibe de ellas, puede ser útil elaborar un diagrama de flujo de datos.
Transferencias internacionales de datos ¿Va a transferir los datos fuera del EEE (o, si está en el Reino Unido, del Reino Unido)?
En caso afirmativo, enumere los países pertinentes y las salvaguardias implantadas para garantizar el cumplimiento del RGPD.

Recuerde que depende de usted cómo estructure su DPIA, siempre que cumpla los requisitos del GDPR.

Paso 3: Recabar la opinión de las personas

El RGPD establece que se debe "recabar la opinión de los interesados" cuando proceda. Muchas organizaciones se saltan este paso, pero puede ser una buena forma de identificar riesgos. 

También puede consultar a expertos en la materia, procesadores que traten datos en su nombre u otros equipos de su organización.

Si piensas dar este paso opcional, debes documentarte:

  • A quién tiene previsto consultar
  • Qué piensa preguntarles
  • (Después de la consulta) Qué han dicho y si esto afecta a su proyecto

Si no piensa dar este paso opcional, debe explicar por qué no lo considera apropiado.

Etapa 4: Evaluación de la necesidad y la proporcionalidad

El GDPR dice que su DPIA debe incluir "una evaluación de la necesidad y proporcionalidad de la operación de tratamiento en relación con los fines."

Este paso es su oportunidad para explorar las siguientes cuestiones:

  • ¿Por qué necesita tratar datos personales para lograr sus fines?
  • ¿Cuál es su base jurídica con arreglo al artículo 6 del RGPD?
  • Si está tratando datos de categoría especial, ¿qué condición del artículo 9 del RGPD se aplica?
  • ¿Podría usted lograr resultados iguales o similares:algún texto
    • ¿Con menos datos?
    • ¿Con datos sobre menos individuos?
    • ¿Con datos de naturaleza menos sensible?
  • ¿Cómo garantizar que los datos sólo se utilizan para los fines previstos?
  • ¿Podrá facilitar a los interesados la información de transparencia pertinente con arreglo a los artículos 13 o 14 del RGPD? En caso afirmativo, ¿cómo? En caso negativo, ¿tiene un motivo válido?
  • ¿De qué mecanismos dispone para garantizar que los interesados puedan ejercer sus derechos?

Etapa 5: Identificación de riesgos

Ahora es el momento de preguntarse: ¿qué puede salir mal?

Considere los riesgos para los "derechos y libertades" de las personas: nosólo la privacidad y la protección de datos, sino, si procede, la libertad de expresión, el acceso a servicios esenciales y otros derechos.

Puede clasificar los riesgos en función de: 

  • Probabilidad (probabilidad de que se produzca el riesgo)
  • Gravedad (la gravedad de los daños si se produjera el riesgo)
  • Riesgo global (basado en una media de probabilidad y gravedad)

Algunas organizaciones representan estos factores en una matriz y obtienen una puntuación de riesgo inicial. Esta matriz puede tener el siguiente aspecto:

Gravedad →
Probabilidad ↓		 Bajo impacto Impacto medio Impacto grave
Insólito Muy bajo Bajo Medio
Probable Bajo Medio Alta
Muy probable Medio Alta Muy alta

Una matriz como ésta puede ayudarle a obtener una calificación inicial del riesgo, que podría cambiar en el Paso 6 una vez que haya aplicado medidas paliativas.

Estudio de caso: Snap

La decisión del ICO sobre Snap revela cómo identificó la empresa los riesgos asociados a su chatbot My AI.

Al parecer, en las cuatro primeras versiones de su DPIA, Snap no abordó los riesgos del tratamiento de datos de categoría especial

En la quinta versión de su DPIA, Snap declaró que el tratamiento de dichos datos era "altamente probable", ya que en última instancia no podía controlar si los usuarios daban al chatbot información sobre su salud, creencias filosóficas, etnia, etc.

Más allá de pedir a los usuarios que no compartieran este tipo de información con My AI, Snap no podía hacer mucho para mitigar este riesgo. Pero incluso el hecho de que Snap hubiera evaluado el riesgo fue suficiente para la ICO. Esta evaluación fue una de las razones por las que el regulador decidió no emitir una multa GDPR.

Este ejemplo muestra las ventajas de realizar una evaluación de riesgos exhaustiva y de gran alcance como parte de la EIPD.

Paso 6: Mitigar los riesgos

Una vez identificados los posibles problemas, es hora de pensar en soluciones.

Para cada riesgo que haya identificado en el paso 4, considere si puede mitigarlo o eliminarlo. Los controles adecuados podrían incluir:

  • Controles de acceso
  • Cifrado
  • Minimización de datos
  • Formación del personal
  • Disposiciones contractuales
  • Desactivar la publicidad dirigida
  • Anonimización o seudonimización 

Tenga en cuenta que algunas de estas medidas van más allá de la seguridad de losdatos , que, después de todo, es sólo una de las muchas consideraciones de protección de datos.

Una vez aplicadas las medidas paliativas a un riesgo, puede reevaluar su probabilidad y gravedad. Este proceso puede reducir un riesgo "alto" a "medio" o "bajo", y así sucesivamente.

Etapa 7: Consulta previa

A estas alturas, ya habrás identificado los riesgos asociados a tu proyecto y aplicado medidas de mitigación. Con suerte, acabará con un conjunto de riesgos de nivel bajo o medio que, en conjunto, son aceptables.

Si al final de su DPIA sigue teniendo riesgos que considera "elevados", tendrá que ponerse en contacto con su Autoridad de Protección de Datos (DPA) para que le asesore.

El artículo 36 (3) del GDPR enumera la información que debe facilitar a su DPA:

  • Una lista de los controladores, controladores conjuntos y procesadores implicados en su proyecto, con sus respectivas responsabilidades (si procede).
  • Los fines (motivos) y medios (métodos) del tratamiento
  • Las medidas y salvaguardias para proteger los derechos y libertades de las personas
  • Datos de contacto de su Responsable de Protección de Datos (RPD) (si dispone de uno)
  • Una copia de su DPIA
  • Cualquier otra información solicitada por la APD

Si la APD considera que su proyecto corre el riesgo de infringir el RGPD, le ofrecerá asesoramiento por escrito en un plazo de ocho semanas (con una posible prórroga de seis semanas).

Estudio de caso: Empresa austriaca de transportes

En Austria, una empresa de transportes llevó a cabo una DPIA en relación con sus planes de grabar el tráfico que pasa por un puente. Al final del proceso, la empresa descubrió que no podía mitigar determinados riesgos relacionados con el suministro de información transparente a los conductores. 

La empresa se puso en contacto con la APD austriaca en virtud de las normas de "consulta previa" del RGPD. Pero el regulador dijo que la empresa había tomado medidas suficientes para mitigar los riesgos pertinentes y dio "luz verde" al proyecto."

A veces es mejor consultar con una APD si no está seguro de si su proyecto debe seguir adelante. Pueden ofrecerle consejos útiles sobre cómo mitigar mejor los riesgos de la protección de datos, y quizá puedan asegurarle que va por buen camino.

Herramientas y plantillas para realizar EIPD

Además de los recursos que hemos enlazado a lo largo de este artículo, aquí tiene algunas plantillas que le ayudarán a realizar su DPIA:

Principales conclusiones

En este artículo tratamos los siguientes puntos clave sobre las Evaluaciones de Impacto sobre la Protección de Datos (EIPD):

  • Las DPIA ayudan a identificar y mitigar los riesgos para los datos personales, garantizando el cumplimiento del GDPR y mejorando la protección de la privacidad.
  • Las EIPD son obligatorias para las actividades de tratamiento de datos de alto riesgo, como la elaboración de perfiles a scale escala, el uso de datos de categoría especial o la vigilancia sistemática de zonas públicas.
  • Los pasos clave incluyen la descripción de las actividades de tratamiento, la evaluación de la necesidad, la identificación y mitigación de los riesgos, y la consulta con las partes interesadas o las autoridades reguladoras si es necesario.
  • Las DPIA mejoran la gestión de riesgos, racionalizan las prácticas de datos y demuestran responsabilidad ante clientes y reguladores.
  • Los datos personales pueden adoptar muchas formas, desde nombres hasta direcciones IP y datos de dispositivos.
  • Los interesados tienen derechos en virtud del GDPR, y es su responsabilidad cumplirlos.

Las DPIA son esenciales para mantener la confianza y el cumplimiento normativo. Para saber cómo Privasee puede agilizar sus procesos de DPIA, reserve una demostración hoy mismo. 

DPIA - Preguntas frecuentes

¿Qué debo hacer si tengo previsto utilizar la IA en mi producto u organización?

Si está desarrollando un producto que utiliza IA, o implantando un producto de IA en su organización, es probable que tenga que realizar una DPIA.

Entre otros reguladores, el ICO del Reino Unido dice:

"En la gran mayoría de los casos, el uso de la IA implicará un tipo de tratamiento que probablemente dará lugar a un alto riesgo para los derechos y libertades de las personas y, por lo tanto, desencadenará el requisito legal de que usted realice una DPIA."

La realización de una EIPD le ayudará a garantizar que utiliza o desarrolla la IA de forma segura y responsable.

¿Cuáles son las sanciones por no realizar una DPIA?

No realizar una DPIA, o no consultar con su Autoridad de Protección de Datos (DPA) en caso necesario, puede dar lugar a una multa de hasta 10 millones de euros o el 2% de la facturación global anual (lo que sea más alto).

¿Puede realizarse una EIPD a posteriori?

No, la EIPD debe realizarse "antes del tratamiento", es decir, antes de que se inicie el proyecto.

¿Quién debe participar en la realización de una EIPD?

Al realizar la EIPD, debe hablar con todas las personas implicadas en el proyecto y, por supuesto, con los interesados afectados por el mismo.

  • Su responsable de protección de datos (RPD) 
  • Controladores y procesadores
  • El equipo de ciberseguridad de su organización
  • El equipo jurídico o de cumplimiento normativo de su organización

Es posible que también tenga que hablar con su Autoridad de Protección de Datos (APD) (véase el paso 7 sobre "consulta previa", más arriba).

¿Con qué frecuencia debe revisarse una EIPD?

No existe ninguna norma sobre la frecuencia con la que debe revisarse una EIPD. Si algo cambia en su proyecto, es posible que tenga que actualizar y volver a realizar la EIPD. De lo contrario, podría establecer un periodo regular para revisar las EIPD de su organización.

Buenas prácticas para realizar DPIA eficaces

He aquí cinco consejos para aprovechar al máximo el proceso de DPIA:

  1. Que tenga sentido. Una EIPD no es un ejercicio de marcar casillas: es su oportunidad de evitar riesgos, proteger los derechos de las personas y mejorar su proyecto. Es más probable que se beneficie de la EIPD si se toma el proceso en serio.
  1. Piensa en términos generales: Aunque parezca muy improbable que se produzca un riesgo, merece la pena anotarlo. Un DPIA es su oportunidad de anticiparse al peor de los escenarios hipotéticos para que no se convierta en realidad.
  1. Implique a otras personas: Aunque decida no consultar a los interesados (véase el paso 3, más arriba), debe hablar con todas las personas que necesite, dentro o fuera de su organización. Haga preguntas y obtenga una comprensión global del proyecto.
  1. Implique a su DPO: Si su organización tiene un DPO, debe implicarlo en el proceso de la DPIA. Probablemente no sea apropiado que su DPO realice la DPIA por sí mismo, pero debe pedirle consejo a lo largo del proceso y hacer que revise el borrador final.
  2. ‍Revisesu EIPD: Una EIPD es un "documento vivo": conserve la suya en sus archivos y revísela periódicamente. Puede que descubra que está obsoleto o que no se han seguido ciertas recomendaciones.
16 de julio de 2024
Más información

Puestos relacionados

Showcase

Privasee vs SafeBase

11 de febrero de 2025
Showcase

Privasee vs Vendict

11 de febrero de 2025
Showcase

¿Qué es una RFP en seguros?

7 de febrero de 2025
Ver todos
Más información

Entradas destacadas

Showcase

¿Qué es el proceso de contratación pública?

16 de enero de 2025
Showcase

¿Qué es un DDQ?

15 de enero de 2025
Showcase

¿Qué es una RFI?

22 de diciembre de 2024
Ver todos