Evaluación de Impacto en la Protección de Datos

Una Evaluación de Impacto en la Protección de Datos (EIPD o DPIA) es un proceso requerido según el Artículo 35 del GDPR para evaluar y mitigar los riesgos de las actividades de procesamiento de datos propuestas que probablemente resulten en un alto riesgo para los derechos y libertades de las personas. Una DPIA es obligatoria cuando el procesamiento implica perfilado sistemático y extensivo con efectos significativos, procesamiento a gran escala de datos sensibles, o monitoreo sistemático a gran escala de áreas de acceso público (como CCTV). Las autoridades supervisoras también pueden publicar listas de operaciones de procesamiento adicionales que requieran DPIAs.

Una DPIA debe incluir una descripción sistemática de las operaciones de procesamiento y sus propósitos, una evaluación de la necesidad y proporcionalidad del procesamiento en relación con los propósitos, una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas planificadas para abordar esos riesgos. Se debe solicitar el consejo del DPO durante el proceso de la DPIA. Si la evaluación revela que el procesamiento resultaría en un alto riesgo que no puede ser mitigado, la organización debe consultar con la autoridad supervisora antes de proceder. Las DPIAs deben revisarse y actualizarse cuando cambien las operaciones de procesamiento.