Evaluación de Impacto de Protección de Datos (EIPD)
El Reglamento establece que debe hacerse cuando sea probable que un tratamiento conlleve un alto riesgo para las personas. No describe qué es un alto riesgo, pero dice que deben tenerse en cuenta aspectos como el uso de nuevas tecnologías, así como la naturaleza, el alcance, el contexto y la finalidad del tratamiento.
En particular, el Reglamento exige que se realice una AIPD en los 3 casos siguientes:
- Evaluación sistemática de aspectos personales basada en un tratamiento automatizado, sobre el que se toman decisiones que afectan significativamente a las personas.
- Tratamiento a gran escala de datos de categorías especiales o datos relativos a infracciones o condenas penales.
- Observación sistemática a gran escala de una zona de acceso público.
Por otro lado, exige que cada autoridad de protección de datos publique una lista de los tratamientos que requieren una AIPD. En el caso de la Autoridad Catalana de Protección de Datos, esta lista puede consultarse aquí. Para las organizaciones bajo el ámbito de competencia de la autoridad española, la lista puede consultarse aquí.
También puede ser necesario realizar una evaluación de impacto como resultado de las garantías extra que exige el Reglamento para los tratamientos con finalidad de archivo en interés público, estadística o investigación científica o histórica, si así lo determina la legislación del Estado miembro (la LOPDGDD, en nuestro caso).
Por el contrario, el Reglamento exime de realizar una evaluación de impacto en los tratamientos basados en una obligación legal o en el interés público, cuando existe una ley del Estado miembro o de la Unión que lo regula y la evaluación de impacto se ha llevado a cabo en el proceso de aprobación de esta ley.
En caso de duda, se recomienda realizar la evaluación de impacto, sobre todo en los tratamientos más complejos.
Última actualización: 19.02.2026