DPIA (Evaluación de Impacto)
Proceso sistemático de evaluación del impacto de un tratamiento de datos personales en los derechos y libertades de las personas físicas, obligatorio cuando el tratamiento entraña alto riesgo, especialmente con nuevas tecnologías, perfilado automatizado o datos biométricos.
10 millones de euros. Esa fue la sanción que la AEPD impuso a Aena por implementar reconocimiento facial biométrico en aeropuertos españoles sin una Evaluación de Impacto (DPIA) adecuada. El procedimiento PS/00098/2021 reveló que Aena realizó una DPIA que la AEPD consideró insuficiente: no evaluaba correctamente los riesgos para millones de pasajeros, no demostraba la necesidad del tratamiento biométrico frente a alternativas menos intrusivas, y no incluía medidas técnicas proporcionales. En 2024, la AEPD abrió más de 300 expedientes relacionados con DPIAs ausentes o deficientes, siendo la falta de Evaluación de Impacto la segunda causa más frecuente de sanción en procedimientos de protección de datos en España, solo por detrás del tratamiento sin base legal.
Definición legal: artículo 35 RGPD
La Evaluación de Impacto en la Protección de Datos (en inglés Data Protection Impact Assessment, DPIA; en español también llamada EIPD) es un proceso previo y obligatorio mediante el cual el responsable del tratamiento evalúa el impacto de un tratamiento de datos personales en los derechos y libertades de las personas físicas, especialmente cuando se utilizan nuevas tecnologías.
El artículo 35.1 del RGPD establece:
“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.”
ANTES del tratamiento, no después
La DPIA debe realizarse ANTES de comenzar el tratamiento de datos. Realizarla después (como ocurrió parcialmente en el caso Aena) no solo incumple el artículo 35, sino que demuestra falta de diligencia y puede agravar la sanción. Si el tratamiento ya está en marcha sin DPIA, debe suspenderse hasta completar la evaluación.
Diferencias terminológicas
| Término | Normativa | Significado |
|---|---|---|
| DPIA | RGPD (inglés) | Data Protection Impact Assessment |
| EIPD | AEPD (español) | Evaluación de Impacto en Protección de Datos |
| PIA | CNIL (francés) | Privacy Impact Assessment |
| Evaluación de Impacto | Coloquial | Término genérico en español |
Todos se refieren al mismo proceso del artículo 35 RGPD. En este artículo utilizamos “DPIA” por ser el término más extendido internacionalmente.
Cuándo es obligatoria una DPIA
Casos obligatorios según el RGPD (Art. 35.3)
El RGPD establece tres casos en los que la DPIA es siempre obligatoria:
| Caso | Descripción | Ejemplo |
|---|---|---|
| Perfilado automatizado con efectos jurídicos | Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado que produzca efectos jurídicos o similares | Scoring crediticio, decisiones de contratación automatizadas, precios personalizados |
| Datos especiales a gran escala | Tratamiento a gran escala de datos del art. 9 (biométricos, salud, ideología, orientación sexual) o art. 10 (condenas penales) | Hospital con historiales, empresa con reconocimiento facial masivo, app de salud |
| Vigilancia sistemática de zonas públicas | Observación sistemática a gran escala de zona accesible al público | CCTV con analítica, reconocimiento facial en centros comerciales, drones de vigilancia |
Lista de la AEPD: 14 tipos de tratamiento que requieren DPIA
La AEPD publicó en 2019 (actualizada en 2021) su lista de tratamientos que obligatoriamente requieren DPIA en España, más allá de los tres casos del RGPD:
| N.o | Tipo de tratamiento | Ejemplo |
|---|---|---|
| 1 | Perfilado con fines publicitarios | Publicidad comportamental, retargeting basado en navegación |
| 2 | Elaboración de perfiles de personalidad | Tests psicológicos online, análisis de comportamiento |
| 3 | Tratamiento de datos biométricos para identificación | Reconocimiento facial, huella dactilar, iris |
| 4 | Tratamiento de datos genéticos | Tests de ADN, genealogía genética |
| 5 | Tratamiento a gran escala de datos de geolocalización | Apps de movilidad, tracking de flotas, geofencing |
| 6 | Tratamiento datos financieros a gran escala | Banca, seguros, scoring crediticio |
| 7 | Tratamiento de datos de menores para fines de marketing | Apps infantiles, plataformas educativas |
| 8 | Tratamiento para análisis de solvencia patrimonial | Ficheros de morosos, informes de riesgo crediticio |
| 9 | Tratamiento con nuevas tecnologías combinado con categorías especiales | IA + datos de salud, blockchain + datos personales |
| 10 | Tratamiento para control de acceso a edificios o recintos | Control biométrico de presencia, badges inteligentes |
| 11 | Uso de datos personales para generación de perfiles sanitarios | Medicina predictiva, seguros de salud |
| 12 | Tratamiento masivo de datos obtenidos de terceros | Data brokers, agregadores de datos |
| 13 | Interconexión de bases de datos de dos o más responsables | Alianzas de datos, cesión entre empresas del grupo |
| 14 | Tratamiento de categorías especiales por entidades sin ánimo de lucro | ONGs con datos de víctimas, asociaciones de pacientes |
Regla de los dos criterios
Además de la lista AEPD, el Grupo de Trabajo del Artículo 29 (WP248) estableció 9 criterios de riesgo. Si un tratamiento cumple 2 o más criterios, la DPIA es generalmente obligatoria: (1) perfilado, (2) decisiones automatizadas con efectos legales, (3) vigilancia sistemática, (4) datos sensibles, (5) datos a gran escala, (6) combinación de conjuntos de datos, (7) datos de personas vulnerables, (8) uso innovador de tecnología, (9) tratamiento que impide ejercer derechos.
Metodología: las 4 fases de una DPIA
Fase 1: Descripción del tratamiento
Documentar de forma completa y precisa qué se va a hacer con los datos personales.
| Elemento | Qué documentar |
|---|---|
| Naturaleza del tratamiento | Recogida, almacenamiento, uso, cesión, eliminación |
| Alcance | Categorías de datos, volumen de interesados, extensión geográfica |
| Contexto | Relación responsable-interesado, expectativas razonables, estado del arte |
| Finalidad | Propósito concreto y específico del tratamiento |
| Base legal | Artículo 6 RGPD (y art. 9 si aplica) que legitima el tratamiento |
| Flujo de datos | Diagrama origen-proceso-destino, terceros, transferencias internacionales |
| Tecnología | Descripción técnica de los sistemas utilizados |
Fase 2: Evaluación de necesidad y proporcionalidad
Demostrar que el tratamiento es necesario y proporcionado para la finalidad perseguida.
| Principio | Pregunta clave | Fallo típico |
|---|---|---|
| Necesidad | ¿Es estrictamente necesario tratar estos datos para esta finalidad? | Recoger datos “por si acaso” |
| Proporcionalidad | ¿Se logra el objetivo con el mínimo tratamiento posible? | Biometría cuando basta tarjeta RFID |
| Minimización | ¿Se recogen solo los datos imprescindibles? | Pedir DNI para newsletter |
| Limitación de plazo | ¿Se conservan solo el tiempo necesario? | Retención indefinida “por defecto” |
| Alternativas | ¿Se han evaluado alternativas menos intrusivas? | No documentar opciones descartadas |
Fase 3: Evaluación de riesgos
Identificar, analizar y valorar los riesgos para los derechos y libertades de los interesados.
Matriz de riesgos estándar AEPD:
| Probabilidad \ Impacto | Bajo | Medio | Alto | Muy alto |
|---|---|---|---|---|
| Muy probable | Medio | Alto | Muy alto | Muy alto |
| Probable | Bajo | Medio | Alto | Muy alto |
| Posible | Bajo | Medio | Alto | Alto |
| Improbable | Bajo | Bajo | Medio | Alto |
Riesgos típicos a evaluar:
| Riesgo | Descripción | Impacto en derechos |
|---|---|---|
| Acceso no autorizado | Brecha de datos por ataque o negligencia | Intimidad, datos financieros, reputación |
| Modificación no autorizada | Alteración de datos sin consentimiento | Integridad, decisiones erróneas |
| Pérdida de datos | Destrucción accidental o deliberada | Acceso a servicios, derechos económicos |
| Discriminación | Decisiones automatizadas sesgadas | Igualdad, no discriminación |
| Pérdida de control | Interesado no puede ejercer sus derechos | Autodeterminación informativa |
| Efecto disuasorio | Vigilancia que coarta libertades | Reunión, expresión, circulación |
| Re-identificación | Seudonimización reversible | Intimidad, anonimato |
Fase 4: Medidas para afrontar los riesgos
Para cada riesgo identificado, definir medidas técnicas y organizativas que lo reduzcan a un nivel aceptable.
| Tipo de medida | Ejemplos |
|---|---|
| Minimización | Reducir datos recogidos, pseudonimización, anonimización |
| Seguridad técnica | Cifrado (AES-256), control de acceso, logging, backup |
| Organizativa | Políticas de acceso, formación, procedimientos de incidentes |
| Transparencia | Información clara al interesado, política de privacidad actualizada |
| Derechos | Mecanismos para ejercer acceso, rectificación, supresión, portabilidad |
| Contractual | Contratos con encargados (art. 28), DPA, cláusulas tipo |
| Supervisión | Auditorías periódicas, DPO activo, revisión anual de DPIA |
Riesgo residual alto = consulta previa a AEPD
Si después de aplicar todas las medidas el riesgo residual sigue siendo ALTO, el artículo 36 del RGPD obliga a realizar una consulta previa a la autoridad de control (AEPD en España) ANTES de iniciar el tratamiento. La AEPD tiene 8 semanas (prorrogables 6 más) para responder. Iniciar el tratamiento sin esperar la respuesta es una infracción independiente.
Herramientas para realizar DPIAs
AEPD: herramienta “Gestiona”
La AEPD ofrece la herramienta gratuita Gestiona EIPD para guiar el proceso:
| Característica | Detalle |
|---|---|
| URL | gestiona.aepd.es |
| Coste | Gratuita |
| Idioma | Español |
| Metodología | Basada en el RGPD y criterios AEPD |
| Resultado | Informe PDF con análisis de riesgos y medidas |
| Limitación | Genérica; no contempla todos los escenarios técnicos |
Otras herramientas
| Herramienta | Desarrollador | Coste | Ventaja |
|---|---|---|---|
| PIA de la CNIL | CNIL (Francia) | Gratuita, open source | Metodología rigurosa, exportable |
| DPIA Tool | ICO (Reino Unido) | Gratuita | Interfaz sencilla, guía paso a paso |
| OneTrust | OneTrust | Comercial | Enterprise, automatización, integración GRC |
| TrustArc | TrustArc | Comercial | Privacidad global, templates por sector |
| Nymity | Nymity | Comercial | Accountability, evidencia de cumplimiento |
Caso real: procedimiento AEPD a Aena por DPIA insuficiente
Hechos (PS/00098/2021)
Aena, el mayor operador aeroportuario de España (46 aeropuertos, más de 275 millones de pasajeros/año), desarrolló el proyecto “Fly with your face” para implementar reconocimiento facial biométrico en la experiencia del pasajero: desde el check-in hasta el embarque, pasando por controles de seguridad.
Lo que Aena hizo respecto a la DPIA:
- Realizó una Evaluación de Impacto
- Contrató consultores externos para el análisis
Lo que la AEPD consideró insuficiente:
| Deficiencia de la DPIA | Por qué fue sancionada |
|---|---|
| Análisis de necesidad incompleto | No demostró que el reconocimiento facial fuera necesario cuando existen alternativas (tarjeta de embarque, DNI electrónico) |
| Proporcionalidad no justificada | No evaluó por qué tratar datos biométricos de millones de pasajeros era proporcionado al objetivo de “agilizar embarque” |
| Riesgos infravalorados | Minimizó el riesgo de brecha biométrica masiva y la irrevocabilidad de los datos faciales |
| Medidas técnicas insuficientes | No documentó contramedidas adecuadas para deepfakes, ataques de presentación, o falsos positivos |
| Sesgos no evaluados | No incluyó análisis de sesgo demográfico del algoritmo |
| Consulta previa no realizada | A pesar del riesgo residual alto, no consultó previamente a la AEPD |
Sanción: 10.000.000 euros (reducida a 8.000.000 por pago voluntario). La sanción no fue solo por la DPIA deficiente, sino por el conjunto de infracciones, pero la ausencia de una DPIA rigurosa fue un factor determinante.
Consecuencias de no hacer DPIA
Sanciones directas
| Infracción | Artículo | Sanción máxima |
|---|---|---|
| No realizar DPIA cuando es obligatoria | Art. 35 RGPD | Hasta 10M EUR o 2% facturación global |
| DPIA incompleta o deficiente | Art. 35 RGPD | Variable según gravedad |
| No consultar previamente a AEPD (riesgo residual alto) | Art. 36 RGPD | Hasta 10M EUR o 2% facturación global |
| Tratar datos sin base legal (descubierto por falta de DPIA) | Art. 6/9 RGPD | Hasta 20M EUR o 4% facturación global |
Sanciones reales en España (2022-2025)
| Empresa | Sanción | Motivo relacionado con DPIA |
|---|---|---|
| Aena | 10.000.000 EUR | DPIA insuficiente para reconocimiento facial |
| VIU | 650.000 EUR | Ausencia de DPIA para proctoring biométrico |
| CaixaBank | 6.000.000 EUR | DPIA deficiente en tratamiento de datos financieros (perfilado) |
| Vodafone | 8.150.000 EUR | DPIA inadecuada en portabilidad y verificación de identidad |
| EDP Energía | 1.500.000 EUR | Ausencia de DPIA en sistema de gestión de clientes |
Consecuencias indirectas
- Nulidad del tratamiento: Si la AEPD determina que debía realizarse DPIA y no se hizo, puede ordenar la suspensión del tratamiento
- Responsabilidad civil: Los afectados pueden reclamar daños y perjuicios (art. 82 RGPD)
- Daño reputacional: Las resoluciones de la AEPD son públicas
- Pérdida de confianza: Clientes, empleados y socios comerciales
Rol del perito informático en DPIAs
Aportación técnica a la evaluación
Un perito informático forense aporta la perspectiva técnica que complementa el análisis jurídico del DPO y los asesores legales:
Evaluación de medidas de seguridad: Verificar que los controles técnicos implementados (cifrado, control de acceso, logging, segmentación de red) son adecuados para el nivel de riesgo identificado. Comparar con el estado del arte y estándares como ISO 27001, ENS, o NIST CSF.
Análisis de minimización técnica: Evaluar si el sistema recoge y almacena solo los datos estrictamente necesarios. Verificar si es posible usar técnicas de pseudonimización, anonimización o privacidad diferencial que reduzcan el riesgo sin perder funcionalidad.
Pruebas de vulnerabilidad: Realizar tests de penetración o revisión de seguridad del sistema que procesará los datos para identificar vulnerabilidades técnicas que la DPIA debe contemplar como riesgos.
Evaluación de proveedores: Auditar las medidas de seguridad de los encargados de tratamiento (cloud providers, SaaS) que procesarán los datos. Verificar que los contratos incluyen las garantías del artículo 28 RGPD.
Análisis de sesgos algorítmicos: Si el tratamiento incluye decisiones automatizadas o IA, evaluar si los algoritmos presentan sesgos que puedan discriminar por raza, género, edad u otros factores protegidos.
Documentación técnica para la DPIA: Redactar la sección técnica del informe de DPIA con el detalle necesario para que la AEPD pueda evaluarla: diagramas de arquitectura, flujos de datos, medidas de seguridad, resultados de tests.
Auditoría de DPIAs existentes
Cuando una empresa ya tiene una DPIA pero necesita verificar su adecuación (por ejemplo, ante un procedimiento sancionador o una auditoría):
| Aspecto a auditar | Verificaciones del perito |
|---|---|
| Medidas técnicas | ¿Se implementaron realmente las medidas descritas en la DPIA? |
| Estado del arte | ¿Las medidas son actuales o han quedado obsoletas? |
| Efectividad | ¿Los controles funcionan como se esperaba? |
| Nuevos riesgos | ¿Han surgido amenazas no contempladas en la DPIA original? |
| Cambios en el sistema | ¿El sistema ha cambiado desde la DPIA sin actualizar la evaluación? |
| Incidentes | ¿Han ocurrido brechas que evidencien riesgos infravalorados? |
Caso práctico: DPIA para sistema de videovigilancia con analítica
Nota: El siguiente caso está basado en patrones reales de implementaciones de videovigilancia con analítica en España durante 2024-2025. Los datos específicos han sido anonimizados para proteger la confidencialidad, preservando los aspectos técnicos y legales relevantes para fines educativos.
Empresa: Cadena de supermercados, 85 establecimientos, 15.000 empleados, 2 millones de clientes/semana.
Proyecto: Implementar cámaras con analítica de vídeo que: (1) cuenten personas por zona y franja horaria, (2) detecten tiempo medio de permanencia en secciones, (3) alerten de colas largas en cajas. Sin identificación individual.
DPIA realizada con participación de perito informático:
Fase 1: Descripción
Tratamiento: Analítica de vídeo en tiempo real
Datos: Imágenes de clientes (no identificados individualmente)
Tecnología: Cámaras IP + servidor local con IA
Finalidad: Optimización de plantilla y disposición de productos
Volumen: ~2 millones de personas/semana, 85 establecimientos
Retención: Imágenes 30 días, analítica agregada 12 meses
Base legal: Interés legítimo (art. 6.1.f RGPD) para conteoFase 2: Necesidad y proporcionalidad
| Criterio | Evaluación |
|---|---|
| Necesidad | Sí: datos de afluencia necesarios para gestión operativa |
| Proporcionalidad | Sí: el sistema NO identifica personas, solo cuenta y agrupa |
| Minimización | Verificado: procesamiento en edge (local), sin envío de imágenes a cloud |
| Alternativas | Evaluadas: contadores infrarrojos (menos precisos), encuestas (inviables a escala) |
Fase 3: Riesgos identificados
| Riesgo | Probabilidad | Impacto | Nivel | Medida mitigadora |
|---|---|---|---|---|
| Acceso no autorizado a grabaciones | Posible | Alto | Alto | Cifrado AES-256, ACL por rol, MFA |
| Uso secundario para identificación | Improbable | Muy alto | Alto | Política de uso, contrato proveedor, auditoría |
| Brecha de datos por ciberataque | Posible | Alto | Alto | Segmentación de red, EDR, backup offline |
| Efecto disuasorio en clientes | Probable | Bajo | Medio | Cartelería clara, política de privacidad |
| Sesgo en conteo por demografía | Posible | Medio | Medio | Test del algoritmo con dataset diverso |
Fase 4: Medidas implementadas
| Medida | Detalle técnico (verificado por perito) |
|---|---|
| Procesamiento local | Analítica ejecutada en servidor on-premise, sin cloud |
| Sin almacenamiento facial | El sistema genera conteos, no almacena embeddings faciales |
| Cifrado | AES-256 en reposo, TLS 1.3 en tránsito |
| Acceso restringido | Solo 3 administradores IT con MFA, logs de acceso |
| Retención automática | Borrado automático de grabaciones a los 30 días |
| Cartelería | Carteles actualizados mencionando “analítica de vídeo” |
| Auditoría anual | Revisión técnica y actualización de DPIA cada 12 meses |
Resultado: Riesgo residual MEDIO. No fue necesaria consulta previa a la AEPD. El informe del perito documentó que el sistema, tal como está configurado, no trata datos biométricos (no identifica individuos) y por tanto el artículo 9 no aplica. Sin embargo, se recomendó auditoría periódica para verificar que la funcionalidad de reconocimiento facial del software permanece desactivada.
Errores frecuentes en DPIAs
| Error | Por qué es problemático | Cómo evitarlo |
|---|---|---|
| DPIA genérica (template sin personalizar) | No analiza los riesgos específicos del tratamiento | Adaptar cada sección al caso concreto |
| Solo análisis jurídico, sin técnico | No evalúa la efectividad real de las medidas | Incluir perito o ingeniero de seguridad |
| Realizada después de implementar | Incumple art. 35.1 (“antes del tratamiento”) | Integrar DPIA en fase de diseño |
| No actualizada | Nuevas amenazas o cambios en el sistema la invalidan | Revisión mínima anual o tras cambio significativo |
| Riesgos infravalorados | ”Improbable” sin justificación técnica | Usar datos objetivos (estadísticas de brechas, CVEs) |
| Sin participación del DPO | Art. 35.2 obliga a recabar asesoramiento del DPO | Documentar participación y opinión del DPO |
| Sin consulta a interesados | Art. 35.9 permite recabar opinión de los afectados | Considerar consulta en tratamientos sensibles |
DPIA y AI Act: nueva capa de obligaciones
El AI Act (Reglamento UE 2024/1689) añade requisitos específicos para tratamientos que utilizan inteligencia artificial:
| Clasificación AI Act | Obligaciones adicionales a la DPIA RGPD |
|---|---|
| IA de riesgo inaceptable (art. 5) | Tratamiento prohibido. La DPIA no puede legitimarlo |
| IA de alto riesgo (Anexo III) | Evaluación de conformidad, documentación técnica, supervisión humana, registro en base de datos UE |
| IA de riesgo limitado | Obligaciones de transparencia (informar al usuario que interactúa con IA) |
| IA de riesgo mínimo | Sin obligaciones adicionales |
DPIA + Evaluación de conformidad AI Act
Para sistemas de IA de alto riesgo que tratan datos personales (como scoring crediticio, reconocimiento facial, o decisiones de empleo automatizadas), la empresa debe realizar TANTO la DPIA del RGPD COMO la evaluación de conformidad del AI Act. Ambos procesos son independientes pero complementarios. El perito informático puede auditar la vertiente técnica de ambos.
FAQ
P: ¿Una startup o PYME también tiene que hacer DPIAs? R: Sí, si su tratamiento cumple los criterios del artículo 35 RGPD o está en la lista de la AEPD. El tamaño de la empresa no exime de la obligación. Sin embargo, la complejidad y profundidad de la DPIA debe ser proporcional al riesgo real. Una PYME con un sistema de fichaje biométrico necesita DPIA para ese tratamiento específico, pero puede ser más sencilla que la de un banco con perfilado masivo. La herramienta gratuita “Gestiona” de la AEPD facilita el proceso para empresas con menos recursos.
P: ¿Quién debe firmar la DPIA? ¿El DPO? R: No. La DPIA es responsabilidad del responsable del tratamiento (la empresa, representada por su dirección). El DPO asesora y supervisa el proceso (art. 35.2), pero no es el responsable de realizarla ni de firmarla. El DPO puede emitir una opinión discrepante si considera que la DPIA es insuficiente, y esta opinión debe documentarse. En la práctica, el equipo de DPIA suele incluir al DPO, al responsable del proyecto, al equipo técnico o perito, y al departamento jurídico.
P: ¿Con qué frecuencia hay que actualizar una DPIA? R: El RGPD no establece plazos fijos, pero el artículo 35.11 obliga a revisar la DPIA cuando haya cambios en el riesgo. En la práctica, la AEPD recomienda revisión al menos anual y siempre que se produzca un cambio significativo: nueva tecnología, ampliación del alcance, nuevo proveedor, brecha de seguridad, o cambio normativo. La falta de actualización de una DPIA puede considerarse equivalente a su ausencia.
Conceptos relacionados
- Datos biométricos - Categoría de datos que siempre requiere DPIA
- Reconocimiento facial - Tecnología cuya implementación exige DPIA rigurosa
- AEPD Compliance - Cumplimiento normativo y notificación de brechas
- DPO (Delegado de Protección de Datos) - Figura que asesora en el proceso de DPIA
- ISO 27037 - Estándar de referencia para medidas de seguridad técnica
Referencias y fuentes
- RGPD (Reglamento UE 2016/679): Artículos 35, 36 y Considerandos 84, 89-93. eur-lex.europa.eu
- AEPD. (2021). “Listas de tipos de tratamientos de datos que requieren evaluación de impacto”. aepd.es - Lista oficial de 14 tipos
- AEPD. (2023). “Guía práctica para las evaluaciones de impacto en la protección de datos”. aepd.es
- Grupo de Trabajo del Art. 29 (WP248). (2017). “Directrices sobre la evaluación de impacto relativa a la protección de datos”. ec.europa.eu - 9 criterios de riesgo
- AEPD. Resolución PS/00098/2021 (Aena, 10M€). aepd.es - DPIA insuficiente para reconocimiento facial
- AEPD. Resolución PS/00120/2022 (VIU, 650K€). aepd.es - Ausencia de DPIA para proctoring
- CNIL. (2024). “PIA Tool - Open source software”. cnil.fr - Herramienta gratuita de DPIA
- AI Act (Reglamento UE 2024/1689): Artículos 5, 6, 9, 27 y Anexo III. eur-lex.europa.eu
- ICO (UK). (2024). “Data Protection Impact Assessments”. ico.org.uk
- AEPD. (2024). “Herramienta Gestiona EIPD”. gestiona.aepd.es
¿Tu empresa necesita realizar o auditar una DPIA para un nuevo sistema o tratamiento de datos? Contacta con Digital Perito para evaluación técnica independiente, análisis de riesgos y documentación pericial.
Última actualización: febrero 2026 Categoría: Legal Código: LEG-016
Preguntas Frecuentes
¿Cuándo es obligatoria una DPIA según el RGPD?
Una DPIA es obligatoria según el artículo 35 del RGPD cuando el tratamiento entrañe un alto riesgo para los derechos de las personas. Casos obligatorios: evaluación sistemática y exhaustiva de aspectos personales (perfilado), tratamiento a gran escala de datos especiales (biométricos, salud), y vigilancia sistemática de zonas accesibles al público. La AEPD publicó una lista de 14 tipos de tratamiento que siempre requieren DPIA.
¿Qué debe incluir una evaluación de impacto?
Una DPIA debe incluir: descripción sistemática del tratamiento y sus fines, evaluación de la necesidad y proporcionalidad, evaluación de los riesgos para derechos y libertades de los interesados, y medidas previstas para afrontar los riesgos (salvaguardas, medidas de seguridad y mecanismos de garantía). Si el riesgo residual sigue siendo alto, hay que consultar previamente a la AEPD.
¿Puede un perito informático realizar o auditar una DPIA?
Sí. Un perito informático forense aporta la perspectiva técnica esencial: evalúa las medidas de seguridad implementadas, analiza si el sistema cumple el principio de minimización de datos, verifica que los controles técnicos sean proporcionales al riesgo, y puede emitir informe pericial sobre la adecuación técnica de la DPIA en procedimientos ante la AEPD.
Términos Relacionados
RGPD (Reglamento General de Protección de Datos)
Reglamento europeo (UE) 2016/679 que regula el tratamiento de datos personales. En peritaje forense, determina cómo recopilar, analizar y presentar evidencia digital sin vulnerar derechos fundamentales de privacidad.
Datos Biométricos
Datos personales de categoría especial obtenidos del tratamiento técnico de características físicas, fisiológicas o conductuales de una persona que permiten su identificación unívoca, como huellas dactilares, reconocimiento facial, patrones de iris o voz.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita