Log in
Sign up
privacy impact assessment meaning shown as a magnifying glass over a document

Sections

Evaluación de impacto sobre la privacidad: PIA, EIPD, EIDF

Lo esencial

  • Una evaluación de impacto sobre la privacidad (en inglés Privacy Impact Assessment, PIA) es un examen estructurado de cómo un sistema recopila, utiliza, conserva y comparte datos personales, realizado antes de su puesta en marcha para detectar los riesgos a tiempo.
  • El término nace en el derecho federal estadounidense (la E-Government Act de 2002) y en el sector privado suele designar una práctica interna y voluntaria.
  • Un PIA no equivale a la evaluación de impacto relativa a la protección de datos (EIPD), obligatoria para los tratamientos de alto riesgo según el artículo 35 del RGPD.
  • El Reglamento europeo de IA añade una tercera evaluación, la de impacto sobre los derechos fundamentales (EIDF), exigida a determinados responsables del despliegue de sistemas de IA de alto riesgo desde el 2 de agosto de 2026.
  • Un mismo sistema de IA de alto riesgo puede requerir a la vez una EIPD y una EIDF. La EIDF complementa la EIPD, no la sustituye.
evaluación de impacto sobre la privacidad ilustrada con una lupa sobre un documento

Qué significa una evaluación de impacto sobre la privacidad

Según la definición del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, una evaluación de impacto sobre la privacidad es un análisis de cómo se maneja la información para garantizar que su tratamiento se ajuste a los requisitos legales, reglamentarios y de política aplicables en materia de privacidad, así como para determinar sus riesgos y efectos. La noción se remonta a la E-Government Act de 2002, cuyo título II, sección 208, obligaba a las agencias federales estadounidenses a realizar un PIA antes de crear o adquirir cualquier sistema que tratara datos personales.

Más allá del lenguaje jurídico, el objetivo es claro. Un PIA plantea una pregunta antes de iniciar un proyecto: dónde podría este sistema poner en riesgo los datos personales de las personas y qué conviene cambiar ahora para evitarlo. Cartografía cómo entran los datos en un sistema, por dónde circulan, quién puede consultarlos y de qué forma se eliminan finalmente. El resultado es un inventario documentado de los riesgos y de las medidas adoptadas para reducirlos.

Un matiz se le escapa a menudo al lector. En el sector público estadounidense, el PIA es una obligación legal. En el sector privado suele ser una herramienta interna de buena práctica, sin un fundamento normativo único, de modo que una organización puede realizar un PIA de forma voluntaria y seguir estando obligada a otra evaluación, esta sí preceptiva, para el mismo proyecto. Es precisamente en ese hueco donde se sitúan las dos evaluaciones siguientes, allí donde el trabajo de privacidad se encuentra con la gobernanza de la IA.

PIA, EIPD y EIDF: tres evaluaciones, una pregunta

PIA, EIPD y EIDF se emplean de manera intercambiable en las conversaciones sobre privacidad, y esa costumbre resulta cada vez más cara. Las tres evaluaciones comparten un fin, proteger a las personas frente a los perjuicios ligados al tratamiento de sus datos y sus derechos, pero descansan sobre bases jurídicas distintas y se activan en situaciones diferentes.

La evaluación de impacto sobre la privacidad es el término amplio y original. Abarca cualquier examen estructurado del riesgo para la privacidad y está arraigada sobre todo en la práctica federal estadounidense.

La evaluación de impacto relativa a la protección de datos es más acotada y más exigente. Conforme al artículo 35 del RGPD, una EIPD es obligatoria siempre que un tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Debe contener una descripción sistemática del tratamiento, una evaluación de su necesidad y proporcionalidad, una estimación de los riesgos y las medidas previstas para afrontarlos.

La evaluación de impacto sobre los derechos fundamentales es el pilar más reciente. Introducida por el artículo 27 del Reglamento de IA, la EIDF se exige a determinados responsables del despliegue de sistemas de IA de alto riesgo y se centra en las personas afectadas: si el sistema las trata de forma equitativa, si genera una desventaja sistemática y si quienes sufren sus decisiones pueden impugnarlas de manera efectiva.

EvaluaciónBase jurídicaSe activa porQuién la realizaResultado
PIAE-Government Act 2002 (EE. UU.); política interna en otros casosCualquier sistema nuevo que trate datos personalesAgencias federales de EE. UU.; de forma voluntaria, empresas privadasRiesgos para la privacidad documentados y medidas de reducción
EIPDArtículo 35 del RGPD (UE)Tratamiento con probable alto riesgo para derechos y libertadesResponsables del tratamientoEstimación de riesgos y medidas de mitigación
EIDFArtículo 27 del Reglamento de IAUso de determinados sistemas de IA de alto riesgoResponsables del despliegue de IA de alto riesgoEvaluación de riesgos para los derechos fundamentales, notificada a la autoridad

Cuándo es obligatoria cada evaluación

Cuándo se exige un PIA

En Estados Unidos, la E-Government Act de 2002 obliga a las agencias federales a realizar un PIA antes de desarrollar o adquirir sistemas informáticos que traten datos personales. Las leyes sectoriales añaden sus propios desencadenantes: la Health Insurance Portability and Accountability Act (HIPAA) rige los exámenes de privacidad en el ámbito sanitario, y varias leyes estatales, entre ellas la California Privacy Rights Act, exigen evaluaciones antes de ciertos tratamientos de datos de consumidores. Fuera de estos regímenes, el PIA sigue siendo facultativo, aunque continúa siendo una pieza sólida de cualquier labor de gestión de riesgos.

Cuándo se exige una EIPD

Bajo el RGPD, la EIPD deja de ser opcional en cuanto un tratamiento puede entrañar un alto riesgo. Las autoridades de control consideran desencadenantes claros el tratamiento a gran escala de datos sensibles, la observación sistemática de espacios públicos y la elaboración sistemática de perfiles con efectos jurídicos o de impacto similar. Muchos sistemas de decisión automatizada encajan de lleno en esa categoría, y es la primera razón por la que las evaluaciones sobre la IA y sobre la privacidad empezaron a solaparse.

Cuándo se exige una EIDF

El artículo 27 abarca un conjunto definido de responsables del despliegue de sistemas de IA de alto riesgo: los organismos de Derecho público, los operadores privados que prestan servicios públicos y los responsables que emplean sistemas de alto riesgo para la evaluación de la solvencia o para la valoración del riesgo y la fijación de precios en los seguros de vida y salud. La obligación se aplica a partir del 2 de agosto de 2026. El responsable del despliegue debe realizar la evaluación antes del primer uso, mantenerla actualizada a medida que cambien las condiciones y notificar el resultado a la autoridad de vigilancia del mercado mediante la plantilla oficial.

Cómo se relaciona una evaluación de privacidad con la gobernanza de la IA

Esto es lo que las definiciones habituales callan: en cuanto los datos personales atraviesan un sistema de IA, un solo proyecto puede activar varias evaluaciones a la vez. Un sistema de IA de alto riesgo que elabora perfiles de personas requerirá a menudo una EIPD, porque trata datos personales con alto riesgo, y una EIDF, porque es un despliegue de IA de alto riesgo dentro del ámbito del artículo 27.

Ambas no son un duplicado, y una no anula a la otra. Las directrices de la Comisión Europea sobre el Reglamento de IA son explícitas: la EIDF no sustituye a la evaluación de impacto relativa a la protección de datos que los responsables del tratamiento deben llevar a cabo conforme a la normativa de protección de datos. El artículo 27, apartado 4, plantea la relación del mismo modo: cuando una EIPD ya cubre parte de lo que la EIDF exige, la evaluación sobre los derechos fundamentales complementa a la EIPD en lugar de absorberla. Una EIPD pregunta si usted protege los datos personales. Una EIDF formula una pregunta más amplia: si el sistema es equitativo con las personas a las que afecta y si estas pueden impugnar sus decisiones.

El alcance puede ampliarse todavía más. La metodología HUDERIA del Consejo de Europa evalúa la incidencia de un sistema de IA sobre los derechos humanos, la democracia y el Estado de Derecho, una óptica que va más allá de la mera privacidad hasta abarcar la discriminación, el acceso a la justicia y la equidad procesal. Para las organizaciones de fuera de la UE, o para quienes buscan un método único y defendible, ofrece una forma estructurada de pensar el impacto a nivel de derechos.

La consecuencia es ante todo organizativa. El responsable de privacidad que antes asumía el PIA y el responsable de gobernanza de la IA que ahora asume la EIDF examinan el mismo sistema desde dos ángulos. Llevar esas revisiones en hojas de cálculo separadas abre la puerta a lagunas y contradicciones. Por eso los responsables del despliegue de IA en entornos regulados gobiernan cada vez más sus evaluaciones de protección de datos y de derechos fundamentales en una única plataforma de gobernanza de la IA, para que pruebas, riesgos y medidas se mantengan coherentes frente a ambas obligaciones.

Cómo realizar una evaluación de impacto sobre la privacidad, paso a paso

El método que sigue sirve para un PIA clásico y se extiende sin fricción a los sistemas de IA.

  1. Delimitar el alcance. Describir el proyecto, las categorías de datos personales implicadas y los límites de la evaluación. Para un sistema de IA, añadir el modelo, sus datos de entrenamiento y las decisiones que automatiza.
  2. Cartografiar los flujos de datos. Rastrear por dónde entran los datos personales, dónde se almacenan, cómo se mueven y quién accede a ellos, incluidos terceros y proveedores.
  3. Comprobar exactitud y accesos. Aclarar cómo se mantienen actualizados los datos, cuánto tiempo se conservan y qué personas o herramientas pueden alcanzarlos.
  4. Estimar los riesgos. Sopesar la sensibilidad de los datos y la probabilidad y gravedad del daño. Para la IA, añadir los grupos de personas afectados y los riesgos concretos de resultados injustos o lesivos.
  5. Aplicar medidas. Reducir la recogida, ajustar los plazos de conservación, restringir las transferencias y prever una supervisión humana sobre las decisiones automatizadas.
  6. Documentar el resultado. Registrar los riesgos residuales y las medidas adoptadas. En una EIDF, esa documentación es también lo que se notifica a la autoridad de vigilancia del mercado.
  7. Revisar a intervalos regulares. Repetir la evaluación cuando cambien el sistema, los datos o la ley. Los sistemas de IA se desvían con el tiempo, así que la revisión periódica no es opcional.

Un consejo útil de coordinación: ejecutar estos pasos una sola vez y etiquetar cada hallazgo según la obligación que satisface, para que un único flujo alimente un PIA, una EIPD y una EIDF en lugar de tres esfuerzos desconectados. Es el modelo que una plataforma de gobernanza específica está pensada para sostener.

Preguntas frecuentes

¿Cuál es el objetivo de una evaluación de impacto sobre la privacidad? El objetivo es identificar y reducir el riesgo para la privacidad antes de que un sistema que trata datos personales entre en funcionamiento. La evaluación documenta cómo se recopilan, usan, conservan, comparten y eliminan los datos, señala los puntos en los que las personas podrían verse perjudicadas y registra las medidas adoptadas para evitarlo. Es un control preventivo, no un informe posterior a un incidente.

¿Es obligatoria por ley una evaluación de impacto sobre la privacidad? Depende de quién sea usted y de dónde opere. Las agencias federales estadounidenses deben realizar un PIA conforme a la E-Government Act de 2002, y leyes como HIPAA o varias leyes estatales imponen sus propias obligaciones. En el sector privado fuera de esos regímenes, el PIA suele ser voluntario, pero una evaluación obligatoria afín, una EIPD del RGPD o una EIDF del Reglamento de IA, puede aplicarse al mismo proyecto.

¿Cuál es la diferencia entre un PIA y una EIPD? El PIA es el término amplio para cualquier examen estructurado de la privacidad, arraigado en la práctica federal estadounidense, donde suele funcionar como herramienta interna. La EIPD es una obligación jurídica concreta conforme al artículo 35 del RGPD, preceptiva cuando un tratamiento presenta un alto riesgo para los derechos y libertades, con un contenido prescrito. En resumen, toda EIPD es una evaluación de privacidad, pero no toda PIA alcanza el umbral jurídico de una EIPD.

¿Cuándo debe realizarse un PIA? Un PIA debe realizarse antes de poner en marcha un nuevo sistema o proceso que trate datos personales, y de nuevo cada vez que un cambio relevante altere cómo se recopilan o usan esos datos. La clave está en la anticipación: la evaluación pretende dar forma al sistema ya en la fase de diseño, antes de que los riesgos queden incorporados, y no constatarlos después.

¿Necesita un sistema de IA una EIDF y una EIPD? A menudo, sí. Un sistema de IA de alto riesgo que trata datos personales puede requerir a la vez una EIPD conforme al RGPD y una EIDF conforme al artículo 27 del Reglamento de IA. Ambas se solapan, pero no son intercambiables: la EIDF complementa la EIPD y añade la perspectiva de los derechos fundamentales. Los responsables del despliegue afectados deberían planificar las dos en lugar de suponer que una basta.

¿Qué es una evaluación de impacto sobre los derechos fundamentales? Una evaluación de impacto sobre los derechos fundamentales (EIDF) es un examen previo al despliegue, exigido a determinados responsables del despliegue de sistemas de IA de alto riesgo por el Reglamento europeo de IA. Describe dónde y cómo se usará el sistema, las personas y grupos afectados, los riesgos concretos de daño, la supervisión humana prevista y las medidas que se adoptarán si los riesgos se materializan. El resultado se notifica a la autoridad de vigilancia del mercado, y la obligación se aplica desde el 2 de agosto de 2026.

Conclusión

El significado de una evaluación de impacto sobre la privacidad ha desbordado su definición original. Nació como un control federal estadounidense sobre cómo las agencias manejan los datos personales, y eso sigue siendo. Pero para cualquier organización que despliega IA, el término encabeza ahora una familia de evaluaciones: el PIA, la EIPD jurídicamente vinculante y la nueva evaluación de impacto sobre los derechos fundamentales del Reglamento de IA. Confundirlas es abrir brechas de cumplimiento. Convertirlas en un flujo de trabajo coordinado es cerrarlas. Gobierne sus evaluaciones de protección de datos y de derechos fundamentales sobre el mismo sistema de IA de alto riesgo, en un solo lugar, con AI Sigil.

Elena Vargas

Evaluación de impacto sobre la privacidad: PIA, EIPD, EIDF

Evaluación de impacto sobre la privacidad: qué es un PIA, diferencias con la EIPD del art. 35 del RGPD y cuándo el Reglamento de IA exige una EIDF.

Marco de gestión de riesgos del NIST: guía para la IA

El marco de gestión de riesgos del NIST (SP 800-37), sus siete pasos y su relación con el NIST AI RMF y el Reglamento de IA de la UE para gobernar la IA.

Monitorización del cumplimiento de los sistemas de IA

La monitorización del cumplimiento mantiene los sistemas de IA alineados con el reglamento de IA, la ISO 42001 y el NIST AI RMF. Qué vigilar y con qué frecuencia.

Notificación de incidentes de IA: el artículo 73 del Reglamento de IA

Notificación de incidentes de IA según el artículo 73 del Reglamento de IA: qué es un incidente, quién notifica, los plazos de 2/10/15 días y el proceso.

MITRE ATLAS: de las técnicas de ataque a la IA a los controles de cumplimiento

MITRE ATLAS reúne 16 tácticas y 84 técnicas de ataque a sistemas de IA. Conviértalas en controles y pruebas para el artículo 15 del Reglamento de IA.

Gobernanza de la IA: el sistema operativo de una IA conforme y responsable

La gobernanza de la IA convierte los principios en controles auditables. Así encajan el reglamento europeo, la ISO 42001 y el NIST AI RMF.