Protección de Datos

Evaluación de impacto en protección de datos EIPD

Por Equipo GRC360 20 de March, 2026 11 min de lectura
Proceso de evaluación de impacto en protección de datos EIPD

La Evaluación de Impacto en Protección de Datos (EIPD) es una herramienta preventiva que permite identificar y mitigar los riesgos para la privacidad antes de implementar un nuevo procesamiento de datos. La Ley 21.719 exige realizarla cuando el tratamiento pueda generar un alto riesgo para los derechos de los titulares.

¿Cuándo es obligatoria?

  • Procesamiento de datos sensibles a gran escala
  • Evaluación sistemática de aspectos personales (profiling)
  • Vigilancia sistemática de zonas de acceso público
  • Uso de nuevas tecnologías que impliquen alto riesgo
  • Decisiones automatizadas que afecten significativamente a personas
  • Transferencia internacional de datos de alto riesgo

Metodología paso a paso

1. Descripción del tratamiento

Documentar: qué datos se procesan, con qué finalidad, base legal, destinatarios, plazos de conservación y medidas de seguridad existentes.

2. Evaluación de necesidad y proporcionalidad

¿Es necesario procesar estos datos para el fin declarado? ¿Se podrían lograr los mismos objetivos con menos datos o datos menos sensibles?

3. Identificación de riesgos

Riesgos para los derechos de los titulares: acceso no autorizado, pérdida, destrucción, modificación, discriminación, daño reputacional, limitación de derechos.

4. Evaluación de riesgos

Para cada riesgo, evaluar probabilidad y gravedad. Considerar la naturaleza de los datos, el volumen, las vulnerabilidades y el contexto.

5. Medidas de mitigación

Definir controles para reducir los riesgos: cifrado, anonimización, control de acceso, capacitación, auditoría, etc.

6. Documentación y consulta

Documentar toda la evaluación. Si el riesgo residual sigue siendo alto, consultar a la Agencia de Protección de Datos antes de proceder.

Relación con la evaluación de impacto de IA

Cuando el procesamiento involucra inteligencia artificial, la EIPD debe complementarse con una evaluación de impacto de IA según ISO 42001. Ver también cómo se complementan.

Consecuencia: Implementar un tratamiento de alto riesgo sin realizar la EIPD puede resultar en sanciones de la Agencia de Protección de Datos, independientemente de que no se haya producido un daño efectivo.

Realiza tu EIPD con GRC360

GRC360 incluye plantillas de EIPD con flujo guiado, evaluación de riesgos integrada y registro de decisiones. Cumple con la Ley 21.719 de forma eficiente.

Crear Cuenta Gratis

Complementa con derechos ARCO, rol del DPO y consentimiento informado.

Gestión de Riesgos Ley 21.719 DPO
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis