¿Haces Big Data? Cómo se hace una evaluación de impacto
El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, introdujo la obligación de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) en aquellos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas.
Cualquier empresa o e-commerce que gestione datos personales debe conocer en qué consiste este análisis preventivo y cuándo resulta obligatorio. En Letslaw ya abordamos en su momento las principales claves de las EIPD, y hoy actualizamos la información conforme a los últimos desarrollos normativos europeos y nacionales.
El Comité Europeo de Protección de Datos (CEPD) (antes Grupo de Trabajo del Artículo 29) ha emitido diversas directrices que interpretan el RGPD y establecen criterios prácticos sobre cuándo debe realizarse una EIPD y qué debe contener. Además, las recientes regulaciones europeas sobre inteligencia artificial y gestión de datos refuerzan su relevancia en entornos de Big Data y automatización.
Riesgos para la privacidad del Big Data
El Big Data implica el tratamiento masivo, continuo y automatizado de grandes volúmenes de información, a menudo mediante técnicas de análisis predictivo, perfilado o inteligencia artificial. Estos tratamientos pueden comprometer gravemente la privacidad si no se evalúan adecuadamente sus riesgos.
El artículo 35 del RGPD establece que debe realizarse una EIPD cuando el tratamiento “pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas”. Existen tres supuestos en los que esta obligación es siempre exigible:
- Tratamientos a gran escala de datos sensibles, como los relativos a salud, ideología, orientación sexual o biometría.
- Observación sistemática a gran escala de zonas de acceso público.
- Evaluaciones o decisiones automatizadas con efectos jurídicos o similares sobre las personas (por ejemplo, sistemas de scoring o perfilado).
Además, el RGPD señala que esta lista no es cerrada. Cualquier operación que presente riesgos elevados debe ser sometida a evaluación.
El CEPD y la AEPD enumeran una serie de criterios que ayudan a identificar tratamientos de alto riesgo, entre los que destacan:
- Evaluación o calificación de personas (perfilado o predicción).
- Decisiones automatizadas con consecuencias jurídicas o económicas.
- Vigilancia o monitorización sistemática.
- Tratamiento de datos especialmente protegidos o confidenciales.
- Procesamiento de datos a gran escala.
- Combinación de conjuntos de datos procedentes de distintas fuentes.
- Tratamiento de datos de colectivos vulnerables (menores, empleados, pacientes, etc.).
- Uso de tecnologías innovadoras o disruptivas, como IA, biometría o geolocalización avanzada.
- Transferencias internacionales de datos fuera de la UE.
- Tratamientos que limiten el ejercicio de derechos o el acceso a servicios o contratos.
Como regla general, si el tratamiento cumple dos o más de estos criterios, se considera recomendable o directamente obligatoria la realización de una EIPD.
Cuándo es obligatoria la evaluación de impacto en el tratamiento de datos
La EIPD debe realizarse antes de iniciar el tratamiento y forma parte del principio de responsabilidad proactiva (accountability) que impone el RGPD.
Incluso cuando no haya certeza sobre su obligatoriedad, el CEPD y la AEPD recomiendan llevarla a cabo, ya que constituye una herramienta eficaz para detectar y mitigar riesgos y para demostrar cumplimiento normativo ante una posible inspección.
A partir de 2025, esta evaluación adquiere aún más importancia en determinados contextos:
- Cuando el tratamiento implique sistemas de inteligencia artificial de alto riesgo, conforme al nuevo Reglamento (UE) 2024/1689 – AI Act, la EIPD deberá coordinarse con la evaluación de conformidad exigida para los sistemas de IA.
- En operaciones de tratamiento que impliquen intercambio o reutilización de datos conforme al Data Act (Reglamento UE 2023/2854) o al Data Governance Act (Reglamento UE 2022/868), se recomienda incluir en la EIPD un análisis adicional sobre las condiciones de acceso, anonimización y control de la trazabilidad de los datos.
- En España, la AEPD ha actualizado en 2023 su guía práctica para evaluaciones de impacto, donde incluye nuevos ejemplos de tratamientos de alto riesgo:
- Videovigilancia inteligente o con reconocimiento facial.
- Sistemas de IA para evaluar comportamientos o rendimiento laboral.
- Plataformas de análisis masivo de datos de usuarios (Big Data).
- Uso de datos biométricos o genéticos.
Contenido que debe tener una evaluación de impacto
De acuerdo con las Directrices del CEPD y la Guía de la AEPD (2023), una EIPD completa debe incluir al menos los siguientes elementos:
Descripción detallada del tratamiento
- Naturaleza, alcance, contexto y objetivos.
- Categorías de datos personales y destinatarios.
- Periodos de conservación.
- Medios técnicos y organizativos utilizados.
- Cumplimiento de códigos de conducta o certificaciones aplicables.
Evaluación de necesidad y proporcionalidad
- Legitimidad del tratamiento.
- Adecuación, pertinencia y limitación de los datos.
- Duración razonable del tratamiento y conservación.
- Medidas para garantizar los derechos de los interesados: información, acceso, rectificación, portabilidad, oposición, limitación y supresión.
Identificación y gestión de riesgos
- Análisis del origen, naturaleza, probabilidad y gravedad de los riesgos.
- Posibles efectos sobre los derechos y libertades (acceso no autorizado, alteración, pérdida, uso indebido).
- Medidas de seguridad y mitigación adoptadas.
Participación de las partes implicadas
- Asesoramiento del Delegado de Protección de Datos (DPD).
- Consulta, cuando proceda, con los interesados o sus representantes.
Seguimiento y revisión
- Revisión periódica de la EIPD ante cualquier cambio en el tratamiento o en el nivel de riesgo.
- Documentación y trazabilidad de todas las decisiones adoptadas.
Cuando las medidas identificadas no sean suficientes para reducir el riesgo, el responsable deberá consultar a la autoridad de control (AEPD en España) antes de iniciar el tratamiento.
Consecuencias del incumplimiento
El incumplimiento de la obligación de realizar una EIPD o de hacerlo incorrectamente puede conllevar sanciones administrativas de hasta 10 millones de euros o el 2 % del volumen de negocio global anual, optándose por la cifra más elevada.
Además, la falta de evaluación en proyectos de IA de alto riesgo podría implicar infracciones adicionales conforme al AI Act, con multas que pueden alcanzar hasta el 7 % del volumen de negocio mundial anual.
El Big Data, la inteligencia artificial y la interconexión de datos amplifican los riesgos para la privacidad. La evaluación de impacto no solo es una exigencia normativa, sino una herramienta estratégica para anticipar problemas legales, reforzar la transparencia y generar confianza en los usuarios.
En Letslaw, como despacho especializado en derecho digital, protección de datos e inteligencia artificial, te ayudamos a determinar si tu tratamiento requiere una EIPD y a elaborarla conforme a los estándares más recientes del RGPD, la AEPD y el nuevo marco europeo de datos y IA.
Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras.
Artículos Relacionados
Evaluación de Impacto de Protección de Datos: Aspectos esenciales
Cómo hacer que tu evaluación de impacto tenga éxito
La nueva Guía para la gestión de riesgos y evaluación de impacto de la AEPD
Las Evaluaciones de Impacto en la protección de datos sujetas al RGPD
El Big Data en las empresas
La AEPD ordena una medida cautelar para Meta