BG Beter Geregeld ICT
AVG & privacy · 2 min leestijd · 10 noviembre 2025

DPIA — Evaluación de Impacto en la Protección de Datos: ¿cuándo es obligatoria y cuándo no?

Una DPIA suena a algo reservado para grandes empresas. Para una pyme rara vez es necesaria, pero sí lo es en algunas situaciones concretas. Aquí tienes el árbol de decisión.

Una DPIA es un análisis de riesgos estructurado para tratamientos de datos con alto riesgo para la privacidad. La autoridad de protección de datos dispone de una lista de situaciones en las que una DPIA es obligatoria.

¿Cuándo es obligatoria?

  • Tratamiento a gran escala de «categorías especiales» (datos médicos, origen étnico, religión).
  • Observación sistemática de espacios de acceso público (videovigilancia en ubicaciones céntricas).
  • Elaboración de perfiles con efectos jurídicos para los interesados (toma de decisiones automatizada).
  • Biometría para identificación (desbloqueo por huella dactilar, reconocimiento facial).
  • Seguimiento de ubicación a gran escala.
  • Combinación de datos personales procedentes de distintas fuentes (data matching).

¿Cuándo probablemente no es necesaria?

  • Administración de RRHH estándar.
  • CRM de clientes estándar.
  • Facturación.
  • Newsletter con consentimiento explícito.

¿Cómo se realiza una DPIA?

  1. Descripción del tratamiento: para qué, cómo y qué datos se usan.
  2. Evaluación de la necesidad y proporcionalidad.
  3. Identificación de riesgos para los interesados.
  4. Medidas para reducir el riesgo.
  5. Riesgo residual y valoración final.

¿Con quién debes consultarlo?

  • El DPO, si lo hay.
  • Los interesados (representación de los trabajadores en tratamientos de RRHH).
  • La dirección da el visto bueno.

Consulta previa a la autoridad de protección de datos

Si tras la DPIA persiste un riesgo residual significativo, es obligatorio consultar a la autoridad de protección de datos ANTES de iniciar el tratamiento. El plazo habitual es de 6 a 10 semanas.

Véase también: pilar GDPR, gestión de riesgos.

Onderwerpen

#avg #dpia #risico-analyse

Volledige gids: Cumplimiento GDPR para pymes: el mínimo práctico

Dit artikel is onderdeel van onze uitgebreide AVG & privacy-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

AVG & privacy

Cumplimiento GDPR para pymes: el mínimo práctico

El GDPR no cuesta €10.000 ni exige un DPO hasta cierto tamaño. Esto es lo que toda pyme debe tener como mínimo — basado en lo que la autoridad supervisora realmente inspecciona.

2 min
AVG & privacy

Registro de direcciones IP bajo el GDPR: seudonimización, dato personal y qué está permitido

Una dirección IP es un dato personal según el GDPR. Los registros de seguridad suelen necesitarlos durante semanas o meses. ¿Cómo se concilia eso con los principios de conservación?

2 min
AVG & privacy

Plazos de conservación por categoría de datos en pymes

¿Cuánto tiempo conservas datos de clientes, candidatos, facturas o grabaciones CCTV? Aquí las categorías más importantes en una tabla resumen, con la fuente de cada plazo.

2 min
AVG & privacy

Consentimiento de marketing: email, WhatsApp, retargeting — ¿qué está permitido?

Tu newsletter, tus emails promocionales, tus píxeles de retargeting — todos necesitan una base de consentimiento. Aquí las reglas concretas por canal.

2 min
AVG & privacy

Derechos de los interesados: acceso, rectificación, supresión — un procedimiento que funciona

Un cliente quiere ver sus datos o directamente eliminarlos. Tienes 30 días. Aquí el procedimiento que funciona sin que una solicitud te cueste media semana.

2 min
AVG & privacy

Sub-encargados fuera de la UE: lo que la sentencia Schrems II sigue exigiendo

¿Usas AWS, Google o Microsoft? Entonces parte de tus datos pasa por EE. UU. Desde Schrems II eso ya no es algo que puedas dar por sentado. Aquí te explicamos qué funciona hoy.

2 min
← Alle artikelen in "AVG & privacy"