Loading…
Una Evaluación de Impacto relativa a la Protección de Datos (DPIA) conforme al Artículo 35 del RGPD es obligatoria siempre que un tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de las personas físicas. El Grupo de Trabajo del Artículo 29 (ahora EDPB) estableció nueve criterios — cuando se cumplen dos o más, realice una DPIA.
Una DPIA defendible consta de cinco fases: describir el tratamiento, evaluar la necesidad y la proporcionalidad, identificar los riesgos, identificar las medidas de mitigación y, por último, aprobar formalmente y programar la revisión. La metodología de la ICO y las Directrices del EDPB coinciden estrechamente en esta estructura.
Bien hecha, una DPIA es un artefacto que da forma al producto — no un ritual de cumplimiento. Saca a la luz el riesgo de forma temprana y obliga a tomar decisiones sobre minimización de datos, conservación y acceso. Las mejores DPIA se completan antes de la primera línea de código.
El Artículo 35(1) exige una DPIA cuando un tratamiento "entrañe probablemente un alto riesgo". El Artículo 35(3) enumera tres casos obligatorios:
La mayoría de las autoridades de control publican listas nacionales (Artículo 35(4)) de tratamientos adicionales que siempre requieren una DPIA. Consulte las listas de su autoridad de control principal y de cualquier autoridad de control de cuyo Estado miembro trate datos de residentes.
Cuando no esté claro, aplique la prueba de los nueve criterios. Dos o más = DPIA obligatoria.
El fundamento de toda DPIA es una descripción precisa de lo que realmente hace con los datos. Documente:
Combine esto con un diagrama de flujo de datos. Las descripciones en texto libre pasan por alto detalles que los diagramas de flujo de datos sí captan.
Para cada riesgo identificable, documente:
Tipos de amenaza que conviene cubrir de forma rutinaria: acceso no autorizado (interno, atacante externo), modificación (pérdida de integridad), pérdida (destrucción, indisponibilidad), discriminación, robo de identidad, perjuicio económico, daño reputacional, pérdida de confidencialidad, pérdida de control sobre los datos, reidentificación de datos seudonimizados.
Para cada riesgo, identifique el tratamiento previsto:
Vuelva a puntuar el riesgo residual tras los controles previstos. Si el riesgo residual sigue siendo alto, debe consultar a la Autoridad de Control antes de iniciar el tratamiento (Artículo 36).
La consulta previa del Artículo 36 es obligatoria cuando, tras aplicar las medidas de mitigación, el riesgo residual para los derechos y libertades sigue siendo alto.
La Autoridad de Control recibe:
Plazo de respuesta de la Autoridad de Control: 8 semanas (prorrogable en 6 semanas en casos complejos). El tratamiento no puede iniciarse durante este período sin autorización.
Escenario: Una empresa de logística planea introducir el fichaje de entrada y salida mediante reconocimiento facial para 4.500 trabajadores de almacén repartidos en 12 centros de Alemania y España.
Prueba de umbral: Datos sensibles (datos biométricos del Artículo 9 para identificación) + gran escala + interesados vulnerables (empleados) + uso innovador = territorio claro de DPIA. Las listas de las Autoridades de Control alemana y española también incluyen la identificación biométrica en el lugar de trabajo como DPIA obligatoria.
Descripción (Etapa 1): Plantillas faciales derivadas de una cámara frontal en la entrada del centro; cotejadas con la plantilla registrada almacenada en un dispositivo por centro; las coincidencias se registran con marca de tiempo e ID del trabajador; las plantillas biométricas se conservan durante el período de empleo + 30 días; los registros de coincidencia se conservan 3 años.
Necesidad (Etapa 2): Base jurídica Artículo 6(1)(b) contrato de trabajo + 9(2)(b) obligación de derecho laboral (Alemania) y consentimiento explícito (España, con cogestión del comité de empresa). Alternativas consideradas: fichaje con tarjeta PIN (rechazada — fichaje fraudulento por terceros), credencial con NFC (rechazada — lo mismo), huella dactilar (rechazada — higiene). Justificada la necesidad de las plantillas faciales frente a las alternativas.
Riesgos (Etapa 3): (a) La centralización de las plantillas biométricas crea un objetivo atractivo para las brechas. (b) Falsa no coincidencia que provoca una deducción salarial. (c) Desviación de la finalidad — datos de fichaje usados para la evaluación del desempeño. (d) Coacción al empleado: negarse a la recogida biométrica obliga a una exclusión voluntaria hacia peores condiciones.
Tratamiento (Etapa 4): (a) Dispositivo local por centro; plantillas cifradas con claves gestionadas por HSM; sin copia en la nube. (b) Flujo de anulación manual para las no coincidencias; nómina no puede deducir basándose únicamente en un fallo de fichaje. (c) Prohibición contractual + separación técnica entre los datos de fichaje y los sistemas de desempeño de RR. HH. (d) Vía de exclusión voluntaria genuina (alternativa con credencial) sin perjuicio, documentada en el acuerdo con el comité de empresa.
Aprobación: Se obtuvo el asesoramiento del DPO — recomendó la supresión de las plantillas faciales 7 días después del cese del empleo en lugar de 30. El responsable lo aceptó. Se obtuvo la cogestión del comité de empresa. Riesgo residual: medio-bajo. No se requiere consulta a la Autoridad de Control.
Una DPIA centrada en una sola actividad de tratamiento: de 2 a 4 semanas de dedicación a tiempo parcial en tiempo de calendario. Una compleja (nueva línea de producto, biométrica, modelo de IA): de 6 a 12 semanas. Cualquier cosa que se anuncie como «2 horas» no es una DPIA real.
Sí — para tratamientos que ya están en funcionamiento, se aplica la revisión del Artículo 35(11). Las Autoridades de Control aceptan DPIA retroactivas cuando el tratamiento es anterior al RGPD o cuando un tratamiento previamente exento de DPIA ha pasado a ser de alto riesgo.
La DPIA (Artículo 35 del RGPD) se centra en los riesgos para los derechos y libertades en el contexto del tratamiento de datos. La FRIA (Artículo 27 del Reglamento de IA de la UE) se extiende a derechos fundamentales más amplios para los sistemas de IA de alto riesgo — discriminación, equidad, impacto de las decisiones automatizadas. Se solapan y pueden combinarse en un único artefacto para los casos de uso de IA.
No es obligatorio, pero la ICO lo recomienda. Publicar un resumen redactado es una sólida señal de confianza. Pueden omitirse los detalles técnicos o comerciales sensibles; el contenido sustancial — finalidad, base jurídica, riesgos, medidas de mitigación — es publicable.
La Autoridad de Control dispone de 8 semanas para emitir su asesoramiento por escrito, prorrogable en 6 semanas en casos complejos. No puede vetar de plano, pero puede dictar medidas correctivas del Artículo 58, incluidas prohibiciones de tratamiento. Planifique en consecuencia — los casos del Artículo 36 requieren un margen de 3 meses antes del lanzamiento.
RegulatoryBridge realiza DPIA completas — prueba de umbral, consulta a las partes interesadas y, cuando es necesario, interacción con la Autoridad de Control conforme al Artículo 36. Un artefacto listo para producción, defendible ante una auditoría.