EDPB: plantilla para la evaluación de impacto de datos personales

El artículo 35 del Reglamento General de Protección de Datos (“RGPD”) exige al responsable del tratamiento realizar una evaluación de impacto (DPIA) en la protección de los datos personales cuando sea probable que un tipo de tratamiento, o una serie de operaciones de tratamiento similares, entrañe un alto riesgo para los derechos y libertades de las personas físicas –por su naturaleza, alcance, contexto o fines–, en particular si utiliza nuevas tecnologías.

Con el fin de facilitar el cumplimiento de esta obligación, el Comité Europeo de Protección de Datos (“EDPB”) adoptó el 10 de marzo de 2026 una plantilla para la documentación y reporte de las evaluaciones de impacto relativas a la protección de datos. El modelo aprobado por el EDPB ofrece una modalidad de presentar los resultados de las DPIA de forma fácilmente comprensible por todas las autoridades de control, fomentando así la armonización práctica dentro del ecosistema europeo de supervisión. Este instrumento puede resultar de especial utilidad tanto para organizaciones que operan en varios Estados miembros –que ahora podrán contar con un modelo único para todas las jurisdicciones– como para pequeñas y medianas empresas que disponen de menos medios para garantizar el cumplimiento de las obligaciones en materia de protección de datos.

Estructura y elementos característicos del modelo

El modelo propuesto por el EDPB se compone de siete apartados que abarcan distintos aspectos del tratamiento analizado. Empieza con una panorámica general, a la que siguen una descripción sistemática y su análisis, las consideraciones sobre su necesidad y proporcionalidad, el análisis y la gestión de riesgos y el rol de las partes interesadas, para concluir con una sección de conclusiones y decisión.

El primer apartado recoge los elementos que permiten obtener una visión general del tratamiento (i.e., identificación del responsable, los encargados y subencargados, el nombre del tratamiento, su planificación y una ficha técnica de la propia DPIA). A continuación, se exige una descripción sistemática del tratamiento que comprenda los datos personales tratados, las finalidades, los usos secundarios o compatibles, la naturaleza, el alcance y el contexto, así como una descripción funcional del ciclo de vida de los datos y de los flujos de tratamiento.

A partir de ahí, la plantilla profundiza en el análisis jurídico y operativo. Solicita el examen de la base jurídica para cada finalidad, la justificación para levantar la prohibición de tratamiento de categorías especiales cuando proceda, la justificación del tratamiento desde la perspectiva de minimización y conservación, y la identificación de medidas de cumplimiento vinculadas a los principios del tratamiento, los derechos de los interesados, las relaciones con encargados, las transferencias internacionales, la protección de datos desde el diseño y la seguridad del tratamiento. Además, incorpora un análisis expreso de necesidad y proporcionalidad y una doble capa de evaluación del riesgo que abarca tanto los riesgos inherentes a la propia concepción del tratamiento como los derivados de eventos accidentales, ilícitos o anómalos.

El modelo del EDPB exige asimismo recoger la opinión, las conclusiones y las recomendaciones del Delegado de Protección de Datos (“DPO”) sobre el tratamiento previsto, y requiere además explicar qué acciones ha adoptado el responsable a la luz de dicho asesoramiento. De este modo, se fortalece la función del DPO no solo como revisor técnico-jurídico, sino como figura cuya participación debe ser visible, trazable y materialmente considerada en la toma de decisiones. Igualmente, deberá valorarse la oportunidad de incluir mención a las opiniones y recomendaciones de los interesados y de sus representantes.

Avance hacia un modelo más homogéneo

La adopción de esta plantilla por el EDPB no altera por sí sola las obligaciones materiales del RGPD, pero sí puede transformar de forma significativa la práctica cotidiana del cumplimiento en materia de DPIAs. Al ofrecer un formato común, orientado a un contenido mínimo y concebido para resultar útil tanto a responsables como a autoridades de control, el EDPB está favoreciendo una cultura de evaluaciones de impacto más comparables, más trazables y, en definitiva, potencialmente más sólidas.