La DPIA es un mecanismo clave para prevenir riesgos en el tratamiento de datos personales, al identificarlos, evaluarlos y mitigarlos antes de que ocurran.
Juliana Vélez Montalvo
los Andes
La evaluación de impacto de privacidad en datos personales (EIPD o DPIA, por sus siglas en inglés) es un mecanismo preventivo que permite identificar y mitigar riesgos asociados al tratamiento de datos personales, con el fin de garantizar la protección de los derechos y libertades de las personas. Estas evaluaciones son particularmente importantes cuando se prevé que un tipo de tratamiento puede generar un alto riesgo para los titulares de los datos.
La DPIA fue introducida formalmente en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea en su artículo 35. Este establece la obligación de los responsables de realizar esta evaluación antes de iniciar el tratamiento de datos personales.
En Colombia, aunque no existe una regulación específica sobre el tema, la Superintendencia de Industria y Comercio (SIC), como Autoridad en Datos Personales, ha promovido la realización de DPIA como un mecanismo preventivo en el tratamiento de datos, aplicable tanto a entidades públicas como privadas. Entre las disposiciones más relevantes se encuentran la Circular Externa 002 de 2024 de la SIC, que establece los lineamientos para el tratamiento de datos personales en sistemas de inteligencia artificial, y la Circular Externa 003 de 2024 de la SIC, que regula las obligaciones de los administradores societarios en materia de tratamiento de datos personales.
Adicionalmente, la SIC ha desarrollado diversas guías donde recomienda realizar estas evaluaciones en situaciones específicas, como el tratamiento de datos en marketing y publicidad, comercio electrónico, inteligencia artificial, computación en la nube, tranferencias internacionales de datos, incidentes de seguridad y entidades estatales.
Según el artículo 35 del RGPD y las recomendaciones de la SIC, una DPIA debe realizarse especialmente cuando el tratamiento de datos implica:
- Evaluaciones sistemáticas y automatizadas de personas, como la elaboración de perfiles y toma de decisiones automatizadas con efectos legales o significativos para los titulares.
- Tratamiento a gran escala de datos sensibles, incluyendo, información sobre salud, origen étnico, antecedentes penales, entre otros.
- Vigilancia sistemática y a gran escala de espacios públicos.
Ahora bien, una DPIA debe contener al menos:
- La descripción del tratamiento de datos y sus finalidades.
- Una evaluación de la necesidad y proporcionalidad del tratamiento en relación con sus finalidades.
- La valoración de los riesgos para los derechos y libertades de los titulares de los datos.
- Las medidas para mitigar riesgos, incluyendo salvaguardas y mecanismos que protejan los datos personales y garanticen el cumplimiento normativo.
La DPIA es un mecanismo clave para prevenir riesgos en el tratamiento de datos personales, al identificarlos, evaluarlos y mitigarlos antes de que ocurran. Pese a su origen foráneo, su adopción en Colombia -a través del soft law- ha sido altamente impulsada por la autoridad, especialmente en ámbitos como la inteligencia artificial.
Las empresas y entidades que tratan datos personales deben tender a adoptar un enfoque preventivo y realizar estas evaluaciones cuando sus operaciones implican un alto riesgo para los titulares de los datos. Así, no solo se mitigan riesgos legales, sino que también se fortalece la confianza en el manejo responsable de la información personal y la garantía de los derechos fundamentales de los ciudadanos.
Juliana Velez, abogada con opción en periodismo de la Universidad de los Andes y estudiante de ultimo semestre de narrativas digitales. Cuenta con tres años de experiencia en derecho de la competencia, protección al consumidor, datos personales y propiedad intelectual. Asociada en Garrigues.
