RGPD - ARTÍCULO 35 - EVALUACIÓN DE IMPACTO (EIPD)

Su EIPD conforme
al método CNIL

El RGPD exige una Evaluación de Impacto relativa a la Protección de Datos para todo tratamiento que pueda entrañar un riesgo elevado para los derechos y libertades de las personas. SYAGA DPIA-Express estructura y documenta su EIPD según la metodología del artículo 35 y las directrices del CEPD, sin improvisación y sin jerga.

35
Artículo RGPD (EIPD)
9
Criterios CEPD (WP248 rev.01)
3
Supuestos de obligación (art. 35.3)
4
Apartados del método (art. 35.7 a-d)

La obligación

Determinar si su tratamiento debe someterse a una EIPD, y luego realizarla conforme a las reglas

El artículo 35 del RGPD exige una EIPD

Todo tratamiento que pueda entrañar un riesgo elevado para los derechos y libertades de las personas físicas debe ser objeto de una Evaluación de Impacto relativa a la Protección de Datos antes de su puesta en marcha (RGPD, art. 35).

📋

La regla CNIL de los «2 de 9 criterios»

El CEPD (antiguo G29, directrices WP248 rev.01) definió 9 criterios de riesgo elevado. En cuanto un tratamiento cumple al menos dos de estos criterios, en principio debe realizarse una EIPD: basta con identificar mal un solo elemento para que el expediente quede incompleto.

🔍

Listas CNIL que hay que contrastar artículo por artículo

La CNIL (autoridad francesa de protección de datos) publica listas de tratamientos para los que la EIPD es obligatoria o no. Determinar con precisión dónde se sitúa su tratamiento exige una lectura rigurosa, no una impresión general.

Sin método, el riesgo es doble

Realizar una EIPD con demasiada premura expone a la incompletud ante una autoridad de control; no realizarla cuando es obligatoria expone a la organización a un incumplimiento del artículo 35. El método CNIL estructura esta decisión y la documenta.

El método: DPIA-Express

La estructura exigida por el artículo 35.7 del RGPD, aplicada a su tratamiento, con una conclusión motivada en cada etapa

1
Determinación de la obligación

¿Está su tratamiento realmente sujeto a la EIPD?

Análisis frente a los 3 supuestos del artículo 35.3, la tabla de los 9 criterios del CEPD (WP248 rev.01) y las listas CNIL de tratamientos obligatorios o no obligatorios. Conclusión motivada, sea la EIPD finalmente obligatoria o no.

2
Art. 35.7.a

Descripción sistemática del tratamiento

Finalidades, categorías de datos e interesados, destinatarios, plazos de conservación: la cartografía completa exigida por el artículo 35.7.a, coherente con su registro de actividades de tratamiento (art. 30).

3
Art. 35.7.b

Necesidad y proporcionalidad

Verificación de que cada dato recogido es necesario para la finalidad perseguida, de que la base jurídica (art. 6) está identificada para cada tratamiento, y de que se respeta el principio de minimización de datos (art. 5.1.c).

4
Art. 35.7.c

Evaluación de los riesgos para las personas

Para cada riesgo identificado: gravedad, probabilidad, medidas ya implantadas, riesgo residual, presentado en forma de tabla utilizable por su dirección o su DPO.

5
Art. 35.7.d y 5.2

Medidas y conclusión documentada

Medidas técnicas y organizativas previstas (art. 32), conclusión motivada y justificación documentada en virtud del principio de responsabilidad proactiva (accountability, art. 5.2), utilizable en caso de inspección de la CNIL.

Lo que usted recibe

Un documento estructurado, con fuentes, y honesto sobre lo que aún debe validar su asesor jurídico o su DPO

📝

Informe EIPD estructurado

El documento completo siguiendo el artículo 35.7 (a a d), con una conclusión motivada.

  • Descripción sistemática del tratamiento
  • Análisis de necesidad y proporcionalidad
  • Tabla de riesgos (gravedad/probabilidad/medidas)
  • Conclusión y justificación documentada (art. 5.2)

Tabla de determinación

El análisis previo que determina si su tratamiento entra en el ámbito de la obligación.

  • Los 3 supuestos del artículo 35.3
  • Los 9 criterios CEPD (WP248 rev.01)
  • Contraste con las listas CNIL
  • Conclusión motivada y con fuentes
📁

Coherencia con el registro art. 30

La EIPD se apoya en la misma base que su registro de actividades de tratamiento.

  • Finalidades y bases jurídicas
  • Categorías de datos e interesados
  • Destinatarios y encargados del tratamiento
  • Plazos de conservación por categoría
🚩

Puntos a validar por su asesor jurídico/DPO

Cada punto de incertidumbre se señala explícitamente, nunca se decide en su lugar.

  • Calificación responsable / encargado del tratamiento
  • Bases jurídicas por finalidad
  • Transferencias fuera de la UE identificadas
  • Designación de un DPO (art. 37), en su caso
🔗

Fuentes y trazabilidad

Cada afirmación jurídica está sustentada en fuentes, no afirmada de memoria.

  • Texto consolidado del RGPD (CELEX 32016R0679)
  • Páginas y listas CNIL (EIPD, registro)
  • Directrices CEPD (WP248 rev.01)
  • URL verificables citadas en el documento
📄

Documento editable

Entregado en un formato editable, reutilizable por su DPO o su asesor jurídico.

  • Estructura conforme al artículo 35.7
  • Reutilizable para sus futuros tratamientos
  • Listo para completarse antes de la validación final
  • Sin formato fijo impuesto

Referencias utilizadas

Un método basado en los textos y las autoridades, no en interpretaciones propias

35

RGPD - Artículo 35

Evaluación de impacto relativa a la protección de datos. Texto consolidado del Reglamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

CEPD

Directrices WP248 rev.01

Los 9 criterios de riesgo elevado del CEPD (antiguo G29), adoptados por la CNIL como método de referencia para determinar la obligación de EIPD.

CNIL

Listas y método CNIL

Listas de tratamientos para los que la EIPD es obligatoria o no, y método CNIL para realizar una evaluación de impacto.

30

RGPD - Artículo 30

Registro de actividades de tratamiento: la base de coherencia (finalidades, datos, plazos) en la que se apoya toda EIPD.

Una EIPD a medida, sin precios ocultos

El alcance depende del número de tratamientos, de su complejidad y de lo que ya esté documentado en su organización. Presupuesto elaborado tras un primer contacto.

Determinación de la obligación

No sabe si su tratamiento está afectado

Presupuesto a medida
según el número de tratamientos a analizar
  • Tabla de los 9 criterios CEPD
  • Contraste con el artículo 35.3
  • Verificación de las listas CNIL
  • Conclusión motivada y con fuentes
Solicitar presupuesto

Programa plurianual

Varios tratamientos de riesgo por cubrir

Presupuesto a medida
según el número de tratamientos y la periodicidad de revisión
  • Todo lo de EIPD completa +
  • Marco metodológico común
  • Revisión periódica (art. 35.11)
  • Coherencia mantenida con el registro (art. 30)
Solicitar presupuesto

Una EIPD nunca es definitiva

El artículo 35.11 del RGPD obliga a revisar el análisis en caso de cambio significativo del tratamiento (nuevo encargado del tratamiento, cambio de alojamiento, ampliación del alcance de la recogida). El presupuesto de revisión se establece caso por caso.

Preguntas frecuentes

¿Está mi tratamiento realmente sujeto a la obligación de EIPD?
Depende de tres elementos verificados metódicamente: los 3 supuestos del artículo 35.3 del RGPD, la tabla de los 9 criterios del CEPD (directrices WP248 rev.01, adoptadas por la CNIL: en cuanto se cumplen 2 de los 9 criterios, en principio debe realizarse una EIPD), y las listas CNIL de tratamientos obligatorios o no obligatorios. El documento entregado resuelve esta cuestión y la justifica, punto por punto.
¿Qué contiene exactamente el documento entregado?
Un documento estructurado según el artículo 35.7 del RGPD: descripción sistemática del tratamiento (a), análisis de necesidad y proporcionalidad (b), evaluación de los riesgos para los interesados (c), medidas técnicas y organizativas previstas (d), y una conclusión motivada. Cada referencia legal está sustentada en fuentes (texto consolidado del RGPD, CNIL, CEPD).
¿Y si mi tratamiento finalmente no está sujeto a la obligación de EIPD?
El documento se conserva con carácter voluntario y documental: constituye la justificación de su decisión de no realizar una EIPD formal, en virtud del principio de responsabilidad proactiva (accountability, art. 5.2 del RGPD), utilizable en caso de inspección de la CNIL.
¿Este documento sustituye el dictamen de mi abogado o de mi DPO?
No. DPIA-Express es una herramienta de acompañamiento metodológico que estructura y documenta el análisis; no constituye un dictamen jurídico. Cada documento entregado enumera explícitamente los puntos que aún debe validar su asesor jurídico o su Delegado de Protección de Datos antes de cualquier uso vinculante.
¿Quién debe realizar la EIPD en mi organización?
El responsable del tratamiento sigue siendo jurídicamente responsable de la EIPD; el DPO, cuando exista, debe ser consultado (art. 35.2 del RGPD). DPIA-Express prepara la materia (descripción, riesgos, medidas) para que esta consulta se realice sobre un expediente ya estructurado, y no sobre una página en blanco.
¿Por qué recurrir a SYAGA en lugar de hacerlo íntegramente de forma interna?
SYAGA Consulting existe desde 2009 y aplica este mismo método a sus propios tratamientos, incluido su propio producto de auditoría de Microsoft 365, cuyo análisis de la obligación de EIPD sigue exactamente esta estructura. No entregamos una plantilla genérica: cada documento se construye tratamiento por tratamiento, artículo por artículo.

¿Listo para documentar su EIPD?

Descríbanos su tratamiento y nos pondremos en contacto con un presupuesto personalizado.