Lista de verificación de evaluaciones de impacto de protección de datos para fundadores y compliance leads

Una evaluación de impacto de protección de datos, o DPIA, es el flujo que un equipo SaaS utiliza antes de iniciar un tratamiento de datos personales con probable alto riesgo. El artículo 35 del GDPR exige describir el tratamiento, analizar necesidad y proporcionalidad, evaluar riesgos para las personas y registrar las medidas que reducen esos riesgos.

Para fundadores y responsables de compliance, la pregunta útil no es si existe una plantilla. La pregunta es si el equipo detectó el riesgo a tiempo, tomó una decisión razonada, asignó controles y conservó evidencia.

1. Confirmar si hace falta una DPIA

Empieza con un screening breve. Revisa si el cambio introduce datos sensibles, datos de empleados o menores, profiling, scoring, decisiones automatizadas, monitorización sistemática, combinación de datasets, nuevos proveedores, nuevas regiones, cambios de retención o cambios de visibilidad. Si no aparece alto riesgo, documenta la decisión. Si el screening apunta a alto riesgo, abre una DPIA antes de iniciar el tratamiento.

2. Nombrar propietario y grupo de decisión

La DPIA puede involucrar producto, ingeniería, seguridad, legal, privacidad y vendor management, pero necesita una persona responsable. Registra quién lidera el flujo, quién aporta información técnica, quién revisa privacidad y quién aprueba el lanzamiento.

3. Describir el tratamiento

Documenta nombre del proyecto, finalidad, categorías de datos, personas afectadas, sistemas, proveedores, integraciones, roles con acceso, retención, borrado, transferencias, avisos al usuario y fecha de revisión. Evita etiquetas genéricas como "analytics" o "IA". Di qué se recopila, cómo se usa, quién lo ve y cuánto tiempo permanece identificable.

4. Probar necesidad y proporcionalidad

Antes de añadir controles, pregunta si el objetivo puede lograrse con menos datos, menor retención, agregación, seudonimización, menos roles, defaults más seguros o instrucciones más estrictas al proveedor. Este paso se conecta con protección de datos desde el diseño y por defecto. El mejor resultado suele ser un diseño más estrecho y más fácil de defender.

5. Evaluar el riesgo desde la persona afectada

No evalúes solo el riesgo para la empresa. Pregunta si el tratamiento puede revelar información sensible, generar trato injusto, producir scores inexactos, crear monitorización inesperada, exponer datos a demasiadas personas o dificultar derechos de privacidad.

6. Elegir controles verificables

Los controles deben tener responsable y evidencia. Pueden incluir minimización de datos, acceso basado en roles, cifrado, logs, restricciones contractuales, límites de retención, revisión humana de resultados automatizados, avisos actualizados y bloqueos de lanzamiento para riesgos abiertos.

7. Cerrar con una decisión

La DPIA debe decir si el tratamiento puede seguir, qué controles deben cerrarse antes del lanzamiento, quién acepta el riesgo residual y cuándo se revisará de nuevo. Si queda alto riesgo residual, puede ser necesaria consulta previa con la autoridad supervisora.

8. Guardar evidencia

Conserva screening, diagrama de datos, revisión de proveedor, configuración de acceso, regla de borrado, aviso de privacidad, security review, decisión de producto, registro de riesgos y aprobación. Esa evidencia ayuda en auditorías, revisiones de clientes y cambios futuros.

FAQ

¿Cuál es el propósito práctico?

Detectar tratamientos de alto riesgo antes de que empiecen, reducir riesgos para las personas y dejar una decisión explicable.

¿Cuándo aplica a SaaS?

Cuando hay datos sensibles, profiling, evaluación automatizada, monitorización sistemática, IA, tratamiento a gran escala o combinaciones inesperadas de datos.

Qué hacer ahora

• Añade disparadores de DPIA en planificación de producto, intake de proveedores, security review y launch readiness.
• Define un campo de responsable, uno de decisión y una lista de evidencia.
• Revisa el próximo cambio de datos de alto riesgo antes de bloquear el lanzamiento.