EIPD — Evaluación de Impacto de Protección de Datos (Art. 35)

¿Qué es?

La Evaluación de Impacto relativa a la Protección de Datos (EIPD / DPIA — Data Protection Impact Assessment) es un proceso sistemático para identificar y minimizar los riesgos de un tratamiento de datos.

¿Cuándo es OBLIGATORIA?

Siempre que el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. En particular (Art. 35.3):

Supuesto	Ejemplo en salud
(a) Evaluación sistemática y exhaustiva de aspectos personales (perfilado)	Sistemas de IA para diagnóstico, scoring de pacientes
(b) Tratamiento a gran escala de categorías especiales (Art. 9)	HCE de un hospital, registros nacionales de enfermedades
(c) Observación sistemática de zonas de acceso público	Vídeovigilancia en áreas sanitarias

En el sector salud, EIPD es obligatoria para:

✅ Implantación de un sistema de historia clínica electrónica
✅ Intercambio de datos entre centros sanitarios
✅ Big data / IA aplicada a datos de pacientes
✅ Investigación con datos de salud (estudios multi-céntricos)
✅ Telemedicina y apps de salud
✅ Wearables con fines clínicos
✅ Receta electrónica interoperable
✅ Biobancos y datos genéticos

Metodología de la EIPD (pasos)

1. DESCRIBIR → contexto, finalidades, datos, flujos
2. EVALUAR → necesidad y proporcionalidad
3. IDENTIFICAR → riesgos para los interesados
4. MITIGAR → medidas para reducir riesgos
5. APROBAR → por el DPO, y si riesgo residual alto → AEPD

Contenido mínimo (Art. 35.7)

Elemento	Descripción
Descripción sistemática del tratamiento	Finalidades, base legal, datos implicados
Necesidad y proporcionalidad	Por qué es necesario y por qué esa es la solución menos invasiva
Riesgos para los derechos	Identificación de riesgos (origen, naturaleza, gravedad)
Medidas previstas	Cifrado, seudonimización, controles de acceso, formación

Consulta previa a la AEPD (Art. 36)

Si el riesgo residual sigue siendo alto incluso después de aplicar medidas, el responsable DEBE consultar a la AEPD antes de iniciar el tratamiento.

Ejemplos en salud:

Creación de un big data sanitario nacional
Sistema de IA para diagnóstico automatizado sin supervisión humana
Interconexión de bases de datos de salud de diferentes países
Reutilización masiva de datos para investigación sin consentimiento

Registro de actividades (Art. 30)

Toda entidad que trate datos de salud debe mantener un Registro de Actividades de Tratamiento (RAT). Contenido mínimo:

Nombre y datos del responsable/DPO
Finalidades del tratamiento
Categorías de interesados y datos
Destinatarios
Plazos de conservación
Medidas de seguridad

Sanciones por no hacer EIPD

Sin EIPD obligatoria: el tratamiento puede considerarse ilícito
Multa: hasta 10M € o 2% del volumen de negocio anual (Art. 83.4)
Además: la AEPD puede prohibir el tratamiento

Referencias

^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 35-36
dpo — El DPO supervisa la EIPD
articulo-9-datos-salud
gdpr-vision-general
investigacion

Wiki

Explorador

EIPD — Evaluación de Impacto de Protección de Datos (Art. 35)

¿Qué es?

¿Cuándo es OBLIGATORIA?

En el sector salud, EIPD es obligatoria para:

Metodología de la EIPD (pasos)

Contenido mínimo (Art. 35.7)

Consulta previa a la AEPD (Art. 36)

Ejemplos en salud:

Registro de actividades (Art. 30)

Sanciones por no hacer EIPD

Referencias

Vista Gráfica

Tabla de Contenidos

Retroenlaces

Wiki

Explorador

EIPD — Evaluación de Impacto de Protección de Datos (Art. 35)

EIPD — Evaluación de Impacto (Art. 35 GDPR)

¿Qué es?

¿Cuándo es OBLIGATORIA?

En el sector salud, EIPD es obligatoria para:

Metodología de la EIPD (pasos)

Contenido mínimo (Art. 35.7)

Consulta previa a la AEPD (Art. 36)

Ejemplos en salud:

Registro de actividades (Art. 30)

Sanciones por no hacer EIPD

Referencias

Vista Gráfica

Tabla de Contenidos

Retroenlaces