Evaluación de Impacto en la Protección de Datos (EIPD): qué es y cómo realizarla

Si gestionas datos personales en tu empresa y piensas que la “protección de datos” se limita a colgar un cartel en tu negocio o poner un banner de cookies, cuidado.

El RGPD tiene un as bajo la manga: la Evaluación de Impacto en la Protección de Datos (EIPD).

No te asustes: no es un examen sorpresa, pero sí un análisis obligatorio en determinados casos. Y saltárselo puede salir muy caro.

Vamos a ver qué es, cuándo tienes que hacerlo, cómo se realiza y qué sanciones puedes recibir si lo ignoras.

¿Tu empresa necesita una Evaluación de Impacto en Protección de Datos?

Si gestionas cámaras de videovigilancia, datos de salud, geolocalización o información sensible de clientes y empleados, probablemente estés obligado a realizar una EIPD.

No hacerlo puede acarrear sanciones de hasta 10 millones de euros y, lo que es peor, pérdida de confianza de clientes y daños reputacionales.

En DEME Soluciones 360 te ayudamos a identificar si tu negocio debe realizarla, a preparar toda la documentación y a implantar medidas de seguridad que te protejan frente a inspecciones y reclamaciones.

Cuéntanos tu caso y te orientamos.

¿Qué es una evaluación de impacto de la protección de datos?

La EIPD un procedimiento que exige el RGPD (artículo 35), y que consiste en analizar los riesgos que puede tener un tratamiento de datos personales para los derechos y libertades de las personas, y poner medidas para minimizarlos.

No es un mero trámite burocrático:

• Sirve para demostrar tu responsabilidad proactiva (accountability).
• Permite detectar fallos de seguridad antes de que ocurran.
• Y, lo más importante, protege a tu empresa de sanciones y a tus clientes de problemas.

¿Cuándo es obligatorio realizar una EIPD?

El RGPD establece que hay que hacer una EIPD cuando un tipo de tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas.

La AEPD publicó una lista orientativa de casos en los que es obligatoria:

• Videovigilancia a gran escala (ejemplo: cámaras en un centro comercial o local donde se graba de forma masiva a clientes).
• Tratamiento de categorías especiales de datos: salud, orientación sexual, religión, datos biométricos, genéticos…
• Geolocalización de personas de manera continuada (apps de reparto, transporte, fichajes con GPS, etc.).
• Elaboración de perfiles de clientes con efectos legales o que afecten significativamente a las personas (ejemplo: scoring financiero).
• Uso de tecnologías innovadoras que traten datos personales (IA, big data, reconocimiento facial, etc.).
• Monitoreo de empleados mediante sistemas intrusivos (grabaciones de voz, sistemas de productividad invasivos, etc.).

Si tu negocio entra en alguno de estos supuestos, la EIPD no es opcional: es obligatoria.

¿Qué pasa si no hago la EIPD cuando debo?

Si tienes un e-commerce, los requisitos se intensifican:

Aquí no hay medias tintas: la AEPD sanciona.

• Infracciones graves (art. 83 RGPD): multa de hasta 10 millones de euros o el 2 % del volumen de negocio global anual.
• Si además el incumplimiento se considera muy grave, la cifra puede subir hasta 20 millones de euros o el 4 %.

Y como siempre no se trata solo de la multa económica: también hay riesgo de reclamaciones de clientes, pérdida de confianza y daños reputacionales.

Beneficios de adaptar tu web al RGPD

Más allá de evitar sanciones, cumplir la normativa te aporta ventajas:

• Confianza: los usuarios perciben tu web como segura.
• Mejor SEO: Google premia webs con políticas claras y https.
• Más conversiones: si los formularios son transparentes, los clientes confían más y rellenan sin miedo.
• Tranquilidad: sabes que estás cumpliendo la ley y que la AEPD no llamará a tu puerta.

Cómo realizar una EIPD paso a paso

Aunque pueda sonar a “ciencia de cohetes”, en realidad la EIPD sigue una metodología clara. Estos son los pasos básicos:

1. Describir el tratamiento

Define:

• Qué datos vas a tratar.
• Con qué finalidad.
• Quién es el responsable.
• Quiénes son los destinatarios.

2. Analizar la necesidad y proporcionalidad

Pregúntate:

¿Hay otra forma menos invasiva de conseguir lo mismo? ¿Es realmente necesario este tratamiento?

3. Identificar los riesgos

Piensa en los posibles problemas:

• Impacto negativo para las personas.
• Acceso no autorizado a datos.
• Uso indebido.
• Pérdida o filtración de información.

4. Evaluar la gravedad y probabilidad

Clasifica los riesgos: leves, moderados o altos. Así sabrás en qué debes poner más esfuerzo.

5. Definir medidas de seguridad

Ejemplos:

• Cifrado de datos.
• Limitación de accesos.
• Contraseñas robustas.
• Auditorías periódicas.
• Protocolos de respuesta ante incidentes.

6. Consultar a la AEPD si es necesario

Si después del análisis el riesgo sigue siendo alto y no hay medidas suficientes, el RGPD obliga a consultar a la AEPD antes de iniciar el tratamiento.

Conclusión: la EIPD no es un trámite, es un seguro legal

Por todo ello, si tienes un bar con cámaras en zonas de clientes y empleados: es obligatorio hacer una EIPD por tratarse de vigilancia a gran escala en espacios públicos y laborales. 

Si gestionas una e-commerce con geolocalización de repartidores y clientes: es obligatorio hacer una EIPD por la monitorización continuada.

O si diriges una clínica estética con historiales médicos online: también es obligatorio realizar una EIPD, al tratar datos de salud (categoría especial).

La Evaluación de Impacto en la Protección de Datos puede parecer una carga, pero en realidad es una herramienta de prevención y tranquilidad.

Si tienes dudas sobre si tu empresa necesita una EIPD, lo mejor es no improvisar: un error puede costar miles de euros.

En DEME Soluciones 360 te ayudamos a:

• Determinar si necesitan una EIPD.
• Realizar el análisis de riesgos completo.
• Implantar las medidas de seguridad necesarias.
• Redactar la documentación que exige el RGPD.

¿Quieres estar seguro de que tu negocio cumple al 100 % con la normativa?.

Contáctanos aquí y te asesoramos de forma personalizada.

Beatriz Sancho - Especialista en proteccion de datos

Especialista en protección de datos y cumplimiento normativo. Con experiencia en el sector energético y financiero, completó un Máster en Protección de Datos y Acceso a la Abogacía. Tras ejercer en Canarias, regresó a Zaragoza y en 2023 se unió a DEME Soluciones 360, aportando su experiencia legal en auditoría y consultoría.