DPIA — Evaluación de Impacto en Protección de Datos

01 Definición

La Evaluación de Impacto en Protección de Datos (DPIA, Data Protection Impact Assessment) es un proceso que el responsable del tratamiento debe realizar antes de iniciar tratamientos que puedan suponer un alto riesgo para los derechos y libertades de las personas. Es obligatoria cuando el tratamiento implica: evaluación sistemática de personas, tratamiento a gran escala de datos sensibles, o vigilancia sistemática de zonas de acceso público, entre otros supuestos.

La DPIA debe incluir una descripción del tratamiento, una evaluación de su necesidad y proporcionalidad, una evaluación de los riesgos, y las medidas previstas para mitigarlos. Si los riesgos residuales son altos, debe consultarse a la autoridad de control (AEPD) antes de iniciar el tratamiento.

02 Qué significa para las AAPP

Para las AAPP, la AEPD ha publicado listas de los tipos de tratamientos que requieren DPIA, que incluyen entre otros: tratamientos a gran escala de datos de categorías especiales, vigilancia sistemática de espacios públicos, y tratamientos que utilizan nuevas tecnologías o perfilado.

La implantación de un chatbot de atención ciudadana que registre conversaciones puede requerir DPIA si procesa datos sensibles o si la escala del tratamiento es significativa. Conviene verificarlo con el DPO del organismo antes de la puesta en producción.

03 Cómo lo aborda Agento

Agento proporciona a los organismos una evaluación de impacto preliminar como parte del proceso de implantación. Esta evaluación analiza los tratamientos de datos involucrados (qué datos se procesan, durante cuánto tiempo, con qué finalidad) y las medidas técnicas y organizativas que mitigan los riesgos. El DPO del organismo puede usar este documento como base para completar o validar la DPIA si fuera necesaria.

Términos relacionados