DPIA (Evaluación de Impacto en Protección de Datos)
La Evaluación de Impacto en Protección de Datos (DPIA, por sus siglas en inglés Data Protection Impact Assessment) es un análisis obligatorio bajo el artículo 35 del RGPD cuando un tratamiento de datos personales puede suponer un alto riesgo para los derechos y libertades de las personas.
En 2024, la AEPD impuso más de 1.200 sanciones relacionadas con deficiencias en el tratamiento de datos personales, y en el 38% de los expedientes sancionadores consta expresamente la ausencia de una Evaluación de Impacto como circunstancia agravante. La DPIA no es un trámite burocrático: es la herramienta que el RGPD diseñó para que las organizaciones identifiquen y mitiguen riesgos antes de que se materialicen. Cuando una empresa implanta un sistema de fichaje con huella dactilar, geolocalización o reconocimiento facial sin realizar esta evaluación, está asumiendo un riesgo sancionador que puede alcanzar los 20 millones de euros o el 4% de su facturación global.
Definición legal: artículo 35 del RGPD
La DPIA (Data Protection Impact Assessment), denominada en español Evaluación de Impacto en Protección de Datos (EIPD), es un proceso de análisis sistemático que permite identificar, evaluar y mitigar los riesgos que un tratamiento de datos personales puede suponer para los derechos y libertades de las personas físicas.
Está regulada en el artículo 35 del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y desarrollada en España por la Ley Orgánica 3/2018 (LOPDGDD) y las guías específicas de la AEPD.
El artículo 35.1 establece:
“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.”
DPIA vs. análisis de riesgos: no son lo mismo
El análisis de riesgos general (art. 32 RGPD) es obligatorio para todos los tratamientos y evalúa las medidas de seguridad técnicas y organizativas. La DPIA (art. 35 RGPD) solo es obligatoria cuando el tratamiento es de alto riesgo y va más allá de la seguridad: evalúa el impacto global en los derechos fundamentales de los interesados (intimidad, no discriminación, libertad de movimiento, etc.). Un tratamiento puede tener un buen análisis de riesgos de seguridad y aun así vulnerar derechos fundamentales si no se ha realizado una DPIA.
Diferencias terminológicas
| Término | Normativa | Significado |
|---|---|---|
| DPIA | RGPD (inglés) | Data Protection Impact Assessment |
| EIPD | AEPD (español) | Evaluación de Impacto en Protección de Datos |
| PIA | CNIL (francés) | Privacy Impact Assessment |
| Evaluación de Impacto | Uso coloquial | Término genérico en español |
Todos se refieren al mismo proceso del artículo 35 RGPD. En este artículo utilizamos “DPIA” por ser el término más extendido internacionalmente.
Cuándo es obligatoria la DPIA
Casos obligatorios según el RGPD (Art. 35.3)
El RGPD establece tres casos en los que la DPIA es siempre obligatoria:
| Caso | Descripción | Ejemplo |
|---|---|---|
| Perfilado automatizado con efectos jurídicos | Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado que produzca efectos jurídicos o similares | Scoring crediticio, decisiones de contratación automatizadas |
| Datos especiales a gran escala | Tratamiento a gran escala de datos del art. 9 (biométricos, salud, genéticos) o art. 10 (condenas penales) | Hospital con historiales, reconocimiento facial masivo |
| Vigilancia sistemática de zonas públicas | Observación sistemática a gran escala de zona accesible al público | CCTV con analítica, drones de vigilancia |
Criterios del Grupo de Trabajo del Artículo 29 (WP 248)
Las directrices WP 248 del antiguo Grupo de Trabajo del Artículo 29 (ahora EDPB) establecen nueve criterios para determinar si un tratamiento es de alto riesgo. Cuando concurren dos o más, la DPIA es generalmente obligatoria:
| Criterio | Ejemplo en contexto laboral |
|---|---|
| 1. Evaluación o scoring | Evaluación del rendimiento laboral mediante algoritmos |
| 2. Decisiones automatizadas con efecto jurídico | Decisión automatizada de despido o no renovación |
| 3. Observación sistemática | Videovigilancia continua, monitorización GPS |
| 4. Datos sensibles o altamente personales | Huella dactilar, reconocimiento facial, datos de salud |
| 5. Tratamiento a gran escala | Sistema de fichaje en empresa con miles de empleados |
| 6. Combinación de conjuntos de datos | Cruce de fichaje con productividad, correo, navegación |
| 7. Datos de personas vulnerables | Trabajadores (relación de poder asimétrica empleador-empleado) |
| 8. Uso innovador de tecnología | Reconocimiento facial para fichaje, wearables |
| 9. Transferencia internacional | Sistema de fichaje en la nube con servidores fuera del EEE |
Los trabajadores siempre son personas vulnerables
El criterio 7 (personas vulnerables) se cumple siempre en el contexto laboral. El EDPB y la AEPD consideran que la relación empleador-empleado es inherentemente asimétrica: el trabajador no puede rechazar libremente el tratamiento sin consecuencias laborales. Esto significa que en el ámbito laboral basta con que concurra un solo criterio adicional para que la DPIA sea obligatoria.
Lista de la AEPD de tratamientos que requieren DPIA
La AEPD publicó en 2019 (actualizada en 2021) su lista de tipos de tratamientos que requieren DPIA conforme al artículo 35.4 del RGPD. Entre los tratamientos listados que afectan al ámbito laboral y al fichaje digital:
- Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física
- Tratamientos que impliquen el uso de datos de geolocalización de forma sistemática
- Tratamientos que impliquen la monitorización sistemática de empleados, incluyendo la vigilancia de comunicaciones electrónicas, la navegación web o el uso de dispositivos
- Tratamientos que impliquen perfilado de personas trabajadoras para evaluar rendimiento, productividad o comportamiento
- Tratamientos que utilicen nuevas tecnologías o un uso innovador de tecnologías existentes
DPIA y sistemas de fichaje digital
Cuándo el fichaje requiere DPIA obligatoria
La relación entre DPIA y fichaje laboral se ha convertido en uno de los temas más relevantes tras la resolución de la AEPD que prohíbe el uso de huella dactilar para el control de jornada (ver AEPD prohíbe huella dactilar para fichaje: alternativas 2026).
| Sistema de fichaje | ¿Requiere DPIA? | Motivo |
|---|---|---|
| Huella dactilar | Sí, obligatoria | Dato biométrico (art. 9 RGPD) + persona vulnerable + monitorización sistemática |
| Reconocimiento facial | Sí, obligatoria | Dato biométrico + tecnología innovadora + persona vulnerable |
| Reconocimiento de iris | Sí, obligatoria | Dato biométrico + tecnología innovadora + persona vulnerable |
| Geolocalización GPS | Sí, obligatoria | Monitorización sistemática + persona vulnerable + datos de localización |
| App móvil con geofencing | Sí, generalmente | Geolocalización (aunque limitada) + persona vulnerable + dispositivo personal |
| Tarjeta RFID/NFC | Recomendada | Persona vulnerable + potencial monitorización si se registra ubicación |
| PIN/código numérico | Recomendada | Persona vulnerable (siempre se cumple), pero riesgo bajo si no hay otros criterios |
| Fichaje web sin geolocalización | Recomendada | Persona vulnerable; menor riesgo si solo registra hora e IP |
| Firma en papel | No obligatoria | Tratamiento no automatizado, bajo riesgo |
La AEPD ya ha sancionado por ausencia de DPIA en fichaje biométrico
En la resolución PS/00050/2021, la AEPD sancionó a una empresa por implantar un sistema de fichaje por huella dactilar sin realizar previamente una Evaluación de Impacto. La sanción se impuso independientemente de que el sistema de fichaje funcionase correctamente: la mera ausencia de DPIA ya constituía infracción del artículo 35 del RGPD, sancionable con hasta 10 millones de euros (art. 83.4.a RGPD).
Contenido específico de una DPIA para fichaje
Cuando se realiza una DPIA para un sistema de control de presencia, deben abordarse aspectos técnicos específicos:
Descripción técnica del sistema:
- Tecnología de captura (sensor biométrico, GPS, RFID, software)
- Arquitectura del sistema (local, nube, híbrido)
- Datos recogidos (plantilla biométrica, coordenadas GPS, timestamps, IP)
- Flujo de datos: desde la captura hasta el almacenamiento y el acceso por RRHH
- Comunicaciones: cifrado en tránsito y en reposo
Análisis de proporcionalidad:
- ¿Existe una alternativa menos invasiva? (PIN, tarjeta, QR)
- Si se usa biometría: ¿se almacena la plantilla completa o solo un hash?
- ¿La geolocalización es continua o solo en el momento del fichaje?
- ¿Los datos se conservan solo el tiempo necesario o indefinidamente?
Riesgos específicos del fichaje:
- Brecha de datos biométricos (irreversible: no puedes cambiar tu huella)
- Buddy punching con datos biométricos robados
- Vigilancia excesiva mediante geolocalización continua
- Discriminación por patrones de fichaje (hora de llegada, pausas)
- Uso secundario de los datos (control de productividad no declarado)
Contenido mínimo obligatorio de una DPIA
El artículo 35.7 del RGPD establece cuatro elementos mínimos:
Descripción sistemática del tratamiento: Qué datos se tratan, con qué finalidad, cuál es la base jurídica, quién es el responsable, qué tecnología se utiliza, durante cuánto tiempo se conservan los datos, a quién se comunican y si hay transferencias internacionales.
Evaluación de la necesidad y proporcionalidad: ¿Es el tratamiento necesario para la finalidad perseguida? ¿Existe una alternativa menos invasiva que logre el mismo objetivo? ¿La cantidad de datos recogidos es proporcional? Esta evaluación es clave en el ámbito del fichaje: si un PIN cumple la misma función que una huella dactilar, la biometría no supera el test de proporcionalidad.
Evaluación de los riesgos para los derechos y libertades: Identificación de riesgos concretos (acceso no autorizado, discriminación, limitación de derechos, pérdida de control sobre los datos) y valoración de su probabilidad e impacto. Se deben considerar tanto los riesgos inherentes al tratamiento como los residuales tras aplicar medidas.
Medidas previstas para afrontar los riesgos: Medidas técnicas (cifrado, seudonimización, control de acceso), organizativas (formación, protocolos, auditorías) y jurídicas (cláusulas informativas, consentimiento si procede, DPO) para mitigar los riesgos identificados hasta un nivel aceptable.
Estructura recomendada por la AEPD
La AEPD, en su Guía práctica para las Evaluaciones de Impacto (2021), recomienda la siguiente estructura ampliada:
| Sección | Contenido |
|---|---|
| Contexto | Descripción del tratamiento, responsable, DPO, normativa aplicable |
| Necesidad y proporcionalidad | Base jurídica, finalidad, minimización, limitación temporal |
| Gestión de riesgos | Identificación de amenazas, probabilidad, impacto, riesgo inherente |
| Plan de acción | Medidas para reducir el riesgo, responsable, plazo, riesgo residual |
| Conclusión | Valoración de si el riesgo residual es aceptable o si se requiere consulta previa a la AEPD (art. 36 RGPD) |
| Supervisión y revisión | Periodicidad de revisión, indicadores de seguimiento, triggers de nueva evaluación |
Proceso paso a paso para realizar una DPIA
Identificar si la DPIA es necesaria: Aplicar los criterios del artículo 35.3 RGPD, los nueve criterios del WP 248 y la lista de la AEPD. Si concurren dos o más criterios (recordar que en contexto laboral el criterio de “persona vulnerable” siempre se cumple), la DPIA es obligatoria.
Constituir el equipo de evaluación: El responsable del tratamiento lidera el proceso. Debe consultar obligatoriamente al DPO si existe (art. 35.2 RGPD). Es recomendable incluir al responsable de IT/seguridad, al responsable de RRHH (si es fichaje) y, cuando la complejidad técnica lo requiera, a un perito informático externo para la evaluación técnica independiente.
Describir el tratamiento de forma sistemática: Documentar qué datos, para qué, con qué base jurídica, durante cuánto tiempo, quién accede, qué tecnología se usa, si hay transferencias internacionales. En el caso de fichaje: describir el hardware, el software, la arquitectura, el flujo de datos completo.
Evaluar necesidad y proporcionalidad: Verificar que la finalidad es legítima, que la base jurídica es sólida (en fichaje laboral: obligación legal del art. 34.9 ET para el registro en sí, pero el método biométrico necesita base adicional), que los datos recogidos son los mínimos necesarios y que el plazo de conservación está justificado.
Identificar y evaluar riesgos: Para cada riesgo, valorar probabilidad (baja/media/alta/muy alta) e impacto (leve/limitado/significativo/máximo). La AEPD proporciona una matriz de riesgos en su guía. Los riesgos deben evaluarse tanto para los interesados (trabajadores) como para la organización.
Definir medidas de mitigación: Para cada riesgo identificado, establecer medidas técnicas y organizativas. Documentar el riesgo residual tras las medidas. Si el riesgo residual sigue siendo alto, es obligatoria la consulta previa a la AEPD (art. 36 RGPD).
Documentar y aprobar la DPIA: El documento final debe estar firmado por el responsable del tratamiento, con el visto bueno del DPO. La DPIA no es un documento estático: debe revisarse periódicamente y siempre que cambien las circunstancias del tratamiento.
Implementar y monitorizar: Poner en marcha las medidas aprobadas, verificar su efectividad y establecer un calendario de revisión. Cualquier cambio significativo en el tratamiento (nuevo software, nueva funcionalidad, ampliación del ámbito) obliga a actualizar la DPIA.
Herramientas de la AEPD para realizar DPIA
La AEPD pone a disposición varias herramientas gratuitas:
| Herramienta | Descripción | Uso recomendado |
|---|---|---|
| GESTIONA EIPD | Aplicación web para gestionar evaluaciones de impacto | Guía paso a paso con plantillas para tratamientos de alto riesgo |
| Facilita EMPRENDE | Herramienta simplificada para pymes y autónomos | Solo para tratamientos de bajo riesgo (no sustituye a la DPIA) |
| Guía práctica EIPD (2021) | Documento PDF con metodología completa | Referencia técnica para la elaboración de la DPIA |
| Lista tratamientos que requieren EIPD | Listado oficial conforme al art. 35.4 RGPD | Determinación de obligatoriedad |
| EVALÚA RIESGO RGPD | Asistente para evaluar el nivel de riesgo | Primera criba antes de DPIA completa |
Facilita EMPRENDE no sustituye a la DPIA
Una confusión frecuente: muchas pymes creen que la herramienta Facilita EMPRENDE de la AEPD equivale a una DPIA. No es así. Facilita EMPRENDE está diseñada para tratamientos de bajo riesgo que no requieren DPIA. Si el tratamiento implica biometría, geolocalización o monitorización sistemática, Facilita EMPRENDE indicará que el tratamiento excede su alcance y que es necesaria una DPIA completa.
El papel del perito informático en la DPIA
El perito informático forense interviene en la DPIA en varios escenarios:
1. Evaluación técnica independiente
Cuando la empresa necesita una valoración objetiva de los riesgos técnicos del tratamiento:
- Análisis de la arquitectura del sistema (vulnerabilidades, cifrado, control de acceso)
- Verificación del flujo de datos (desde la captura hasta el almacenamiento final)
- Comparación de las medidas de seguridad con el estado del arte (ISO 27001, ENS)
- Revisión de la configuración del software (permisos, logs de auditoría, backups)
2. Auditoría de una DPIA existente
Cuando se cuestiona la calidad o completitud de una DPIA ya realizada (por ejemplo, tras una denuncia ante la AEPD o en un procedimiento sancionador):
| Aspecto a auditar | Verificaciones del perito |
|---|---|
| Descripción técnica | ¿Es precisa y completa? ¿Refleja el sistema real? |
| Riesgos identificados | ¿Son realistas o están infravalorados? |
| Medidas de mitigación | ¿Son técnicamente efectivas? ¿Están implementadas? |
| Riesgo residual | ¿Se corresponde con la realidad técnica? |
| Actualización | ¿Se ha revisado tras cambios en el sistema? |
3. Peritaje en procedimientos sancionadores de la AEPD
Cuando la AEPD ha abierto expediente sancionador por ausencia o insuficiencia de DPIA, el perito puede elaborar un informe pericial que documente las medidas de seguridad existentes, analice si los riesgos eran realmente altos y aporte evidencia técnica para reducir la cuantía de la sanción.
Sanciones por ausencia o insuficiencia de DPIA
Marco sancionador del RGPD
| Infracción | Artículo | Sanción máxima |
|---|---|---|
| No realizar DPIA cuando es obligatoria | Art. 35 RGPD | Hasta 10 millones de euros o 2% de la facturación global |
| DPIA incompleta o deficiente | Art. 35 RGPD | Variable según gravedad |
| No consultar a la AEPD cuando el riesgo residual es alto | Art. 36 RGPD | Hasta 10 millones de euros o 2% de la facturación global |
| Tratar datos sin base legal (descubierto por falta de DPIA) | Art. 6/9 RGPD | Hasta 20 millones de euros o 4% de la facturación global |
Sanciones reales de la AEPD en España (2022-2025)
| Empresa | Sanción | Motivo relacionado con DPIA |
|---|---|---|
| Aena | 10.000.000 EUR | DPIA insuficiente para reconocimiento facial en aeropuertos |
| CaixaBank | 6.000.000 EUR | DPIA deficiente en tratamiento de datos financieros (perfilado) |
| Vodafone | 8.150.000 EUR | DPIA inadecuada en portabilidad y verificación de identidad |
| VIU | 650.000 EUR | Ausencia de DPIA para proctoring biométrico en exámenes |
| EDP Energía | 1.500.000 EUR | Ausencia de DPIA en sistema de gestión de clientes |
Caso práctico: DPIA ausente en sistema de fichaje biométrico
Nota: Caso construido sobre patrones reales de resoluciones de la AEPD entre 2021 y 2025. Los datos específicos han sido modificados para proteger la confidencialidad, preservando los aspectos técnicos y legales relevantes para fines educativos.
Contexto: Una empresa de logística con 340 empleados implanta un sistema de fichaje por huella dactilar en sus 5 centros de trabajo. El proveedor del sistema asegura que “cumple con el RGPD”. La empresa no realiza DPIA, no consulta al DPO (que es externo) y activa el sistema sin evaluación previa.
Desencadenante: Tres meses después, un trabajador denuncia ante la AEPD que la empresa recoge sus datos biométricos sin su consentimiento y sin haberle informado adecuadamente. La AEPD abre actuaciones de investigación.
Hallazgos de la AEPD:
| Infracción | Artículo | Gravedad |
|---|---|---|
| Ausencia de DPIA | Art. 35 RGPD | Grave (art. 83.4.a) |
| Tratamiento de datos biométricos sin base jurídica adecuada | Art. 9 RGPD | Muy grave (art. 83.5.a) |
| Información insuficiente al interesado | Arts. 13-14 RGPD | Grave (art. 83.5.b) |
| No consulta al DPO | Art. 35.2 RGPD | Circunstancia agravante |
Intervención del perito informático: La empresa contrata un perito para documentar las medidas de seguridad que sí existían (cifrado AES-256 de las plantillas biométricas, control de acceso por roles, backups cifrados) y elaborar ex post una DPIA que acredite que el riesgo residual era bajo. El perito también identifica que el sistema almacenaba la plantilla biométrica completa (no un hash irreversible), lo que agravaba el riesgo.
Resultado: La AEPD impone sanción de 200.000 euros. El informe pericial contribuyó a reducir la sanción (la propuesta inicial era de 350.000 euros) al acreditar medidas de seguridad efectivas, pero la ausencia de DPIA previa se consideró inexcusable.
La DPIA antes de implantar, no después de sancionar
Este caso ilustra un patrón frecuente: la empresa invierte más en defenderse del expediente sancionador (abogado + perito + recurso) que lo que habría costado realizar la DPIA antes de implantar el sistema. Una DPIA completa para un sistema de fichaje biométrico tiene un coste de 3.000 a 8.000 euros. La sanción, incluso reducida, fue de 200.000 euros.
Errores frecuentes en DPIAs
| Error | Por qué es problemático | Cómo evitarlo |
|---|---|---|
| DPIA genérica del proveedor | No analiza los riesgos específicos del contexto | Adaptar cada sección al caso concreto |
| Solo análisis jurídico, sin técnico | No evalúa la efectividad real de las medidas | Incluir perito o ingeniero de seguridad |
| Realizada después de implantar el sistema | Incumple art. 35.1 (“antes del tratamiento”) | Integrar DPIA en fase de diseño |
| No actualizada tras cambios | Nuevas amenazas o cambios en el sistema la invalidan | Revisión mínima anual o tras cambio significativo |
| Riesgos infravalorados | ”Improbable” sin justificación técnica | Usar datos objetivos (estadísticas de brechas, CVEs) |
| Sin participación del DPO | Art. 35.2 obliga a recabar asesoramiento del DPO | Documentar participación y opinión del DPO |
| Confundir fichaje obligatorio con biometría obligatoria | El art. 34.9 ET obliga a registrar la jornada, pero no determina el método | Documentar por qué se descartaron alternativas menos invasivas |
El error más grave: la DPIA post-implementación
Un patrón frecuente en empresas españolas: se implanta el sistema de fichaje biométrico porque el proveedor lo ofrece como solución “llave en mano” y asegura que “cumple la normativa”. Meses o años después, ante una denuncia, inspección o auditoría, la empresa intenta realizar la DPIA retroactivamente.
El artículo 35.1 del RGPD es inequívoco: la DPIA debe realizarse antes del tratamiento. La AEPD ha indicado en múltiples resoluciones que una DPIA realizada ex post puede valorarse como atenuante (demuestra cierta diligencia), pero no exime de la infracción por no haberla realizado antes de iniciar el tratamiento. La diferencia práctica puede ser significativa: en el caso práctico documentado más arriba, la DPIA ex post ayudó a reducir la sanción de 350.000 a 200.000 euros, pero no la eliminó.
Checklist rápido: ¿necesito DPIA para mi sistema de fichaje?
Responde estas tres preguntas:
- ¿El sistema usa datos biométricos (huella, cara, iris, voz)? Si la respuesta es sí → DPIA obligatoria.
- ¿El sistema usa geolocalización (GPS, geofencing, IP con localización)? Si la respuesta es sí → DPIA obligatoria.
- ¿El sistema es digital y trata datos de empleados (personas vulnerables)? Si la respuesta es sí → DPIA recomendada. Si además combina datos (cruce con productividad, email, navegación), DPIA obligatoria.
Si no sabes responder a estas preguntas con certeza, un perito informático puede ayudarte a determinar qué datos recoge realmente tu sistema de fichaje y si la DPIA es necesaria.
Si tu empresa utiliza un sistema de fichaje por PIN o tarjeta sin geolocalización ni biometría, la DPIA no es obligatoria pero sí muy recomendable como medida de diligencia. En caso de inspección o procedimiento sancionador, disponer de una DPIA voluntaria demuestra compromiso con la protección de datos y puede ser considerada como atenuante.
DPIA y AI Act: nueva capa de obligaciones
El AI Act (Reglamento UE 2024/1689) añade requisitos específicos para tratamientos que utilizan inteligencia artificial:
| Clasificación AI Act | Obligaciones adicionales a la DPIA RGPD |
|---|---|
| IA de riesgo inaceptable (art. 5) | Tratamiento prohibido. La DPIA no puede legitimarlo |
| IA de alto riesgo (Anexo III) | Evaluación de conformidad, documentación técnica, supervisión humana |
| IA de riesgo limitado | Obligaciones de transparencia (informar al usuario que interactúa con IA) |
| IA de riesgo mínimo | Sin obligaciones adicionales |
DPIA + Evaluación de conformidad AI Act
Para sistemas de IA de alto riesgo que tratan datos personales (como scoring crediticio, reconocimiento facial o decisiones de empleo automatizadas), la empresa debe realizar TANTO la DPIA del RGPD COMO la evaluación de conformidad del AI Act. Ambos procesos son independientes pero complementarios. El perito informático puede auditar la vertiente técnica de ambos.
Conceptos relacionados
- RGPD - Marco normativo que establece la obligación de realizar DPIA
- DPO (Delegado de Protección de Datos) - Debe ser consultado obligatoriamente en el proceso de DPIA
- Datos biométricos - Categoría especial de datos que activa la obligación de DPIA
- AEPD compliance - Autoridad de control que supervisa el cumplimiento del art. 35 RGPD
- Auditoría de registro horario - Proceso que puede requerir o complementar una DPIA
Referencias y fuentes
- Reglamento (UE) 2016/679 (RGPD), artículos 35, 36 y Considerandos 84, 89-93 (evaluación de impacto y consulta previa). eur-lex.europa.eu
- Ley Orgánica 3/2018 (LOPDGDD), artículos 28 y 34-37. boe.es
- AEPD. Guía práctica para las Evaluaciones de Impacto en la Protección de los Datos Sujetas al RGPD (2021). aepd.es
- AEPD. Listas de tipos de tratamientos de datos que requieren evaluación de impacto (art. 35.4 RGPD). aepd.es
- Grupo de Trabajo del Artículo 29 (WP 248 rev.01). Directrices sobre la evaluación de impacto relativa a la protección de datos (2017). ec.europa.eu
- AEPD. Resolución PS/00050/2021 - Sanción por ausencia de DPIA en sistema biométrico. aepd.es
- AEPD. Resolución PS/00098/2021 (Aena, 10 millones de euros) - DPIA insuficiente para reconocimiento facial. aepd.es
- AEPD. Guía sobre tratamientos de control de presencia mediante sistemas biométricos (2023). aepd.es
- AI Act (Reglamento UE 2024/1689), artículos 5, 6, 9, 27 y Anexo III. eur-lex.europa.eu
- EDPB. Directrices 3/2019 sobre tratamiento de datos personales mediante dispositivos de vídeo. edpb.europa.eu
¿Necesitas verificar si la DPIA de tu sistema de fichaje es correcta o defenderte ante un expediente de la AEPD? Contacta con Digital Perito para una evaluación técnica independiente con informe pericial.
Última actualización: marzo 2026 Categoría: Marco Legal Código: LEG-032
Preguntas Frecuentes
¿Qué es una DPIA?
Es una evaluación obligatoria bajo el Art. 35 RGPD que analiza los riesgos de un tratamiento de datos personales para los derechos de las personas afectadas.
¿Es obligatoria la DPIA para un sistema de fichaje?
Es obligatoria cuando el sistema usa geolocalización, biometría, o monitorización sistemática de empleados. Para fichaje básico por PIN o QR, se recomienda pero no siempre es obligatoria.
¿Quién hace la DPIA?
El responsable del tratamiento (la empresa), con asesoramiento del DPO si existe. Un perito informático puede verificar que la evaluación técnica es correcta.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita