Cómo elaborar la EIPD: Evaluación de Impacto en la Protección de Datos Personales
La Evaluación de Impacto en la Protección de Datos Personales — EIPD — es uno de los instrumentos más sofisticados que introduce la Ley 21.719 y, al mismo tiempo, uno de los menos comprendidos. Muchas organizaciones la ignoran porque creen que solo aplica en situaciones excepcionales. Otras la elaboran de forma superficial, generando un documento inútil en caso de fiscalización.
En esta guía entenderás exactamente qué exige la Ley 21.719 sobre la EIPD, para qué tratamientos es necesaria, cómo estructurar el documento y qué espera la Agencia de Protección de Datos Personales de él.
Qué es la EIPD y qué dice la Ley 21.719
La Ley 21.719 — que reforma la Ley 19.628 sobre Protección de la Vida Privada, publicada el 13 de diciembre de 2024 y con vigencia a partir del 1° de diciembre de 2026 — incorpora la obligación de realizar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para tratamientos de alto riesgo.
La EIPD responde a tres preguntas fundamentales:
- ¿Qué datos y operaciones están involucradas? — descripción completa del tratamiento
- ¿Qué riesgos genera para los titulares? — análisis de probabilidad e impacto
- ¿Qué medidas se adoptan para mitigar esos riesgos? — salvaguardas técnicas y organizacionales
El responsable del tratamiento es quien elabora la EIPD — es la expresión máxima del principio de responsabilidad proactiva (accountability) que establece la Ley 21.719. No la elabora la Agencia: la elabora el propio responsable, como documentación del razonamiento sobre los riesgos que impone a los titulares.
Nota: La Agencia de Protección de Datos Personales, creada por la Ley 21.719, comenzará a operar progresivamente desde la entrada en vigencia de la ley. Hasta entonces, las organizaciones deben preparar sus estructuras de gobernanza para cumplir con estos requisitos desde el primer día.
EIPD vs. DPIA: diferencias respecto al GDPR europeo
| Aspecto | DPIA (GDPR — Art. 35) | EIPD (Ley 21.719) |
|---|---|---|
| Obligatoriedad | Lista mínima publicada por autoridades + criterios generales | Tratamientos de alto riesgo por naturaleza, alcance, contexto o finalidades |
| Cuándo elaborar | Antes del inicio del tratamiento de alto riesgo | Antes de iniciar el tratamiento — principio de privacidad por diseño |
| Consulta previa a la autoridad | Obligatoria cuando el riesgo residual permanece elevado | Recomendada; la Agencia puede establecer mecanismos de consulta |
| Quién elabora | Responsable (DPO consulta obligatorio) | Responsable (Delegado de Protección de Datos revisa y aprueba) |
La Ley 21.719 es más principiológica que prescriptiva — al igual que el GDPR — lo que otorga flexibilidad al responsable, pero también mayor responsabilidad para definir la metodología adecuada.
Cuándo la EIPD es necesaria
Obligación directa — tratamientos de alto riesgo
La EIPD es obligatoria cuando el tratamiento — por su naturaleza, alcance, contexto o finalidades — pueda generar un alto riesgo para los derechos y libertades de los titulares. Esto incluye especialmente:
1. Tratamiento de datos sensibles a gran escala: Datos de salud, biométricos, de origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, datos genéticos u orientación sexual, cuando son tratados de forma masiva.
2. Decisiones automatizadas con efectos significativos: Cuando el tratamiento incluye elaboración de perfiles o decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o igualmente significativos sobre los titulares (Art. 8 bis Ley 21.719).
3. Monitoreo sistemático a gran escala: Vigilancia o control de zonas accesibles al público, seguimiento de comportamiento en línea, sistemas de geolocalización o reconocimiento facial.
4. Uso de tecnologías emergentes: Inteligencia artificial, reconocimiento biométrico, Internet de las cosas (IoT), en tratamientos que puedan afectar significativamente los derechos de los titulares.
5. Tratamiento de datos de grupos vulnerables: Datos de niños, niñas y adolescentes; personas en situación de discapacidad; adultos mayores.
6. Interés legítimo como base de licitud: Cuando el responsable invoca el interés legítimo como base de licitud, debe realizar previamente una evaluación de ponderación que incluye el análisis de impacto en los derechos del titular — en la práctica, una EIPD simplificada.
Ejemplos prácticos que requieren EIPD
- Sistema de reconocimiento facial para control de acceso en colegio o espacio público
- Aplicación de salud que procesa datos médicos de pacientes a gran escala
- Plataforma de crédito con scoring automatizado para decisiones de otorgamiento
- Programa de monitoreo de productividad de colaboradores con análisis conductual
- Sistema de IA para preselección de currículums en proceso de selección
Quién elabora la EIPD
El responsable del tratamiento es el encargado de elaborarla — es quien decide sobre el tratamiento y debe documentar los riesgos que impone a los titulares.
En la práctica, la elaboración involucra múltiples áreas:
- Área de privacidad/compliance: coordinación metodológica y redacción
- Área de TI: descripción técnica de sistemas, flujos de datos y medidas de seguridad
- Área jurídica: análisis de bases de licitud y proporcionalidad
- Área de negocio: descripción de finalidades y necesidad del tratamiento
El Delegado de Protección de Datos no elabora la EIPD — la revisa y emite dictamen. Es la "segunda línea de defensa": evalúa la adecuación del documento, identifica brechas y recomienda medidas adicionales. El Delegado debe aprobar o rechazar fundadamente la EIPD antes de su finalización.
Nunca debe ser la misma persona quien elabora y aprueba la EIPD. Eso crearía un conflicto de intereses que comprometería la credibilidad del documento.
Cuándo elaborar la EIPD
La orientación consolidada — basada en buenas prácticas internacionales y en la lógica de la privacidad por diseño — es elaborarla antes del inicio del tratamiento:
- Para nuevos sistemas o productos que tratarán datos personales: antes de la fase de desarrollo
- Para nuevas finalidades de datos ya recopilados: antes de iniciar el nuevo uso
- Para evaluación retroactiva de sistemas existentes: lo antes posible, priorizando los de mayor riesgo
Elaborar la EIPD después de un incidente de seguridad o una notificación de la Agencia coloca a la organización en gran desventaja — demuestra ausencia de gobernanza previa.
Estructura completa de la EIPD
Sección 1 — Identificación
- Nombre y RUT del responsable del tratamiento
- Nombre y datos de contacto del Delegado de Protección de Datos
- Identificación de los encargados de tratamiento involucrados
- Fecha de elaboración y número de versión
Sección 2 — Justificación de la elaboración
¿Por qué se está elaborando la EIPD?
- Iniciativa interna por identificación de alto riesgo
- Nuevo proyecto o sistema
- Uso de interés legítimo como base de licitud
- Evaluación retroactiva de sistema existente
Sección 3 — Descripción completa del tratamiento
Esta es la sección más extensa y presupone un mapeo de flujo de datos previo completo:
- Tipos de datos personales tratados (incluyendo datos sensibles, de niños, etc.)
- Categorías de titulares y volumen estimado
- Finalidades específicas del tratamiento
- Base(s) de licitud utilizada(s)
- Operaciones realizadas: recopilación, almacenamiento, acceso, comunicación, transmisión, supresión
- Comunicaciones internas (qué áreas, sistemas) y externas (qué terceros)
- Transferencias internacionales de datos, si las hubiere
- Plazo de conservación y criterio de supresión
Sección 4 — Evaluación de necesidad y proporcionalidad
Para cada finalidad declarada, evalúe:
- ¿El tratamiento es estrictamente necesario para alcanzar la finalidad?
- ¿Existe una alternativa menos intrusiva para la privacidad que produzca el mismo resultado?
- ¿La cantidad de datos recopilados es proporcional a la finalidad?
Sección 5 — Identificación y análisis de riesgos
Para cada riesgo identificado, documente:
| Campo | Contenido |
|---|---|
| Amenaza | ¿Qué puede salir mal? (ej.: acceso no autorizado, uso indebido, filtración, discriminación algorítmica) |
| Causa | ¿Por qué existe esa amenaza? (falla técnica, error humano, ataque externo) |
| Consecuencia para los titulares | ¿Cuál es el daño potencial? (patrimonial, reputacional, discriminación, riesgo a la vida) |
| Probabilidad | Baja / Media / Alta |
| Gravedad del impacto | Baja / Media / Alta |
| Riesgo bruto | Probabilidad × Impacto |
Categorías de riesgo a considerar:
- Acceso no autorizado a los datos
- Divulgación indebida de datos personales
- Alteración o destrucción de datos sin autorización
- Pérdida de disponibilidad de datos necesarios para el titular
- Discriminación por uso indebido de perfiles
- Impacto desproporcionado en grupos vulnerables
- Decisiones automatizadas perjudiciales sin posibilidad de revisión (Art. 8 bis Ley 21.719)
Sección 6 — Medidas de mitigación y salvaguardas
Para cada riesgo de nivel medio o alto, documente las medidas:
Medidas técnicas:
- Cifrado en tránsito y en reposo
- Control de acceso basado en mínimo privilegio
- Autenticación multifactor
- Seudonimización o anonimización
- Registros y monitoreo de acceso (logs)
- Pruebas de penetración y vulnerabilidades
Medidas organizacionales:
- Política de privacidad y protección de datos
- Capacitación de equipos con acceso a los datos
- Contratos con encargados de tratamiento
- Proceso formal de respuesta a incidentes
- Revisión periódica de la EIPD
Para cada medida, documente: responsable de la implementación, plazo y criterio de verificación.
Sección 7 — Riesgo residual y conclusión
Tras las medidas de mitigación, ¿cuál es el nivel de riesgo que permanece?
- Riesgo residual bajo: el tratamiento puede iniciarse con las medidas descritas
- Riesgo residual medio: se deben implementar medidas adicionales antes del inicio
- Riesgo residual alto: el responsable debe reconsiderar la necesidad del tratamiento o consultar a la Agencia
La conclusión debe incluir el dictamen del Delegado de Protección de Datos (aprobado, aprobado con reservas, rechazado) y la decisión final del responsable con justificación.
Referencia metodológica: ISO 29134
La ISO 29134:2017 (Guidelines for Privacy Impact Assessment) es la norma internacional que establece la metodología para la EIPD/DPIA. Aunque la Ley 21.719 no la exige formalmente como norma obligatoria, constituye la referencia de mejores prácticas reconocida internacionalmente.
La ISO 29134 estructura el proceso en fases similares a la estructura anterior, con énfasis en:
- Consulta a las partes interesadas (titulares afectados, cuando sea posible)
- Iteratividad: la EIPD debe revisarse a medida que el proyecto evoluciona
- Documentación del razonamiento, no solo de los resultados
Cómo usará la Agencia la EIPD en fiscalizaciones
La Agencia de Protección de Datos Personales utilizará la EIPD como instrumento de verificación de accountability. Cuando investigue un incidente o reciba una denuncia, la EIPD será uno de los primeros documentos solicitados.
La ausencia de la EIPD agrava la situación del responsable en un proceso administrativo sancionador — demuestra que la organización no evaluó los riesgos antes de iniciar el tratamiento. Esto puede configurar una infracción grave bajo la Ley 21.719, con multas de hasta 10.000 UTM o hasta 20.000 UTM en casos gravísimos (o hasta 2-4% de los ingresos anuales del responsable en caso de reincidencia de grandes empresas).
La calidad de la EIPD también importa: un documento superficial que solo lista riesgos sin analizarlos adecuadamente, o que propone medidas genéricas sin responsable ni plazo definidos, puede ser considerado insuficiente por la Agencia.
Caso internacional de referencia: IA generativa y datos personales
En 2024, la ANPD de Brasil suspendió cautelarmente el tratamiento de datos de usuarios brasileños por parte de Meta para entrenamiento de IA generativa — con multa diaria de BRL 50.000 por incumplimiento. La ausencia de evaluación de impacto para un tratamiento de alto riesgo (IA con datos de millones de personas, incluidos menores) fue factor determinante. Este precedente es relevante para Chile: las mismas plataformas globales operan en el país y estarán sujetas a la Ley 21.719 desde su entrada en vigor.
La EIPD como atenuante en procesos sancionatorios
Las organizaciones con Modelo de Prevención de Infracciones (MPI) certificado ante la Agencia — que incluye la documentación sistemática de evaluaciones de impacto — tienen acceso a reducciones de sanciones en procesos administrativos. Un MPI sin EIPDs documentadas para tratamientos de alto riesgo difícilmente será considerado efectivo por la Agencia.
Checklist para su EIPD
- ¿El tratamiento involucra datos sensibles a gran escala? → EIPD obligatoria
- ¿Incluye decisiones automatizadas con efectos significativos? → EIPD obligatoria (Art. 8 bis)
- ¿Usa tecnologías emergentes con impacto potencial en derechos? → EIPD obligatoria
- ¿Se invoca el interés legítimo como base de licitud? → Evaluación de ponderación requerida
- ¿La EIPD fue elaborada antes del inicio del tratamiento?
- ¿Contiene descripción completa del flujo de datos?
- ¿Identifica y evalúa todos los riesgos relevantes (probabilidad × impacto)?
- ¿Propone medidas de mitigación con responsable y plazo?
- ¿Evalúa el riesgo residual tras las medidas?
- ¿El Delegado de Protección de Datos emitió dictamen formal?
- ¿El responsable tomó una decisión documentada?
- ¿La EIPD está archivada y disponible para solicitud de la Agencia?
Conclusión
La EIPD no es burocracia — es la documentación del razonamiento de una organización sobre los riesgos que impone a los titulares de datos y las medidas que adoptó para mitigarlos. Organizaciones que elaboran buenas EIPDs antes de iniciar tratamientos de alto riesgo reducen significativamente el riesgo de incidentes y sanciones — y construyen un argumento sólido de buena fe y responsabilidad proactiva en eventuales procesos administrativos.
La Ley 21.719 coloca a Chile en la vanguardia de la protección de datos en América Latina. Las organizaciones que adopten desde hoy estas prácticas de gobernanza no solo cumplirán la ley — estarán construyendo ventaja competitiva basada en confianza.
Confidata ofrece un módulo de gestión de EIPDs integrado al inventario de datos, con plantillas estructuradas, flujo de aprobación por el Delegado de Protección de Datos e historial de versiones con trazabilidad completa.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.