El Comité Europeo de Protección de Datos (EDPB) adoptó este abril un template oficial para la Data Protection Impact Assessment (DPIA o EIPD en español). Consulta pública abierta hasta el 9 de junio de 2026. El objetivo declarado: simplificar el cumplimiento del RGPD y armonizar la forma en que las 31 autoridades europeas evalúan las DPIA. Para un SaaS pequeño, este movimiento elimina una de las ambigüedades más caras del Artículo 35: "¿cómo se supone que se hace?". Este artículo aterriza cuándo necesitas DPIA, cómo usar el template nuevo, y qué evita una bien hecha.

Cuándo el Artículo 35 RGPD exige una DPIA

La DPIA es obligatoria cuando un tratamiento es "probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas". El RGPD da tres ejemplos concretos:

  1. Evaluación sistemática a gran escala con efectos legales (scoring crediticio automatizado, decisiones de contratación con IA, etc.)
  2. Tratamiento a gran escala de datos especiales (salud, biometría, opiniones políticas, religión, etc.)
  3. Observación sistemática a gran escala de áreas accesibles al público (CCTV, IoT urbano, etc.)

Las autoridades nacionales han ampliado la lista. La AEPD española, por ejemplo, exige DPIA también para tratamientos que combinen datasets de distintas fuentes con perfilado, sistemas de IA de alto riesgo bajo AI Act, o tratamientos de menores.

Casos típicos donde un SaaS B2B necesita DPIA

Feature¿DPIA?Por qué
Login con email + passwordNoBajo riesgo estándar
Sistema de recomendación basado en historial de usoProbablePerfilado sistemático
Reconocimiento facial para acceso de empleadosBiometría + control acceso
Scoring automatizado de leadsDecisión automatizada con impacto
Analytics agregados sin identificadoresNoDatos anonimizados
Procesamiento de currículums con IADecisión empleo
Chatbot que registra conversaciones para entrenar modelosProbableProcesamiento masivo + uso secundario

El template oficial del EDPB: qué incluye

El template adoptado en abril de 2026 estandariza la estructura de la DPIA en siete bloques:

  1. Descripción sistemática del tratamiento: qué datos, qué finalidad, qué tecnología, qué actores
  2. Necesidad y proporcionalidad: por qué este tratamiento, alternativas menos invasivas consideradas
  3. Identificación de riesgos: probabilidad e impacto sobre los derechos
  4. Medidas para mitigar: técnicas, organizativas, contractuales
  5. Consulta a interesados o representantes (cuando aplica)
  6. Decisión sobre el tratamiento (proceder, modificar, no proceder)
  7. Plan de revisión (cuándo se reevalúa)

El template no es obligatorio. Cada autoridad nacional puede adoptarlo o adaptar su propio formato. Pero usar el template del EDPB facilita las cosas si tu SaaS opera en varios países UE, porque cualquier autoridad lo reconocerá.

Cómo rellenar el template sin morir en el intento

1. Empieza por la descripción operativa, no la legal

El bloque 1 (descripción del tratamiento) lo escribes en lenguaje operativo: qué datos coges, dónde, qué hace tu producto con ellos, dónde van. Si esto no lo puedes explicar en una página, el problema no es la DPIA, es el diseño de tu producto.

2. La necesidad y proporcionalidad es la sección donde más sancionan

Las autoridades miran con lupa el bloque 2. La pregunta clave: ¿realmente necesitas TODOS estos datos para el propósito declarado? La respuesta honesta suele ser "no, podríamos hacerlo con menos". Si es ese tu caso, ajusta el diseño antes de defender el tratamiento.

3. Los riesgos se evalúan en términos del usuario, no de la empresa

Error común: redactar riesgos como "reputacionales para la empresa" o "sanciones regulatorias". Mal. El RGPD pide evaluar riesgos para los DERECHOS Y LIBERTADES DEL USUARIO: identidad, libertad de expresión, discriminación, pérdida económica, daño físico/psicológico.

4. Las medidas de mitigación tienen que ser específicas

"Cifrado en reposo" es vago. "AES-256 cifrado en reposo, claves rotadas trimestralmente, acceso solo para 3 roles internos con MFA" es defendible. Concreto vence a genérico.

5. El plan de revisión no es opcional

Una DPIA es un documento vivo. El plan de revisión define cuándo se reevalúa (típicamente: cada 12 meses, o cuando hay cambio sustancial). Sin plan de revisión, la DPIA puede declararse obsoleta en una auditoría.

Qué evita una DPIA bien hecha

  • Sanción por incumplimiento del Art. 35 RGPD: hasta 10 millones de euros o 2% facturación global
  • Obligación de notificar el tratamiento a la autoridad antes de empezar (si el riesgo no se mitiga, debes consultar a la AEPD según Art. 36)
  • Vulnerabilidad ante reclamaciones individuales: sin DPIA, no tienes documentación que justifique el tratamiento
  • Coste de rediseño post-incidente: mucho más caro corregir un sistema en producción que ajustar en diseño

Plantilla práctica para una primera versión

Si nunca has hecho una DPIA, esta es una estructura mínima viable de 1 página por bloque que puedes escalar después:

  1. Bloque 1 (1 página): qué hace tu sistema con datos personales, en lenguaje plano
  2. Bloque 2 (½ página): por qué es necesario, qué alternativas evaluaste
  3. Bloque 3 (1 página): tabla de riesgos: tipo / probabilidad / impacto / total
  4. Bloque 4 (1 página): tabla de medidas: riesgo / medida / responsable / plazo
  5. Bloque 5 (opcional, ¼ página): a quién consultaste o por qué no aplica
  6. Bloque 6 (¼ página): decisión y firma del responsable
  7. Bloque 7 (¼ página): cuándo se revisa

Total: ~4 páginas. Suficiente para un primer caso. La estructura escalará cuando el tratamiento sea más complejo o el tamaño de la empresa lo requiera.

"La adopción del template está alineada con el objetivo de la Declaración de Helsinki del EDPB de facilitar el cumplimiento del RGPD" (síntesis de la comunicación oficial del EDPB). Traducción operativa: el regulador reconoce que la DPIA era opaca y propone un estándar común.

Conclusión

La DPIA dejó de ser opcional para muchos SaaS que no se identificaban como "alto riesgo" pero técnicamente lo eran. El template del EDPB elimina la excusa del "no sabíamos cómo hacerla". Para tu SaaS, dedicar una tarde a hacer la primera DPIA (aunque sea borrador) es la inversión más alta retorno-por-tiempo del trimestre.

Si quieres centralizar Privacy Policy, Cookie Policy, ToS y mantener el registro de versiones publicadas (útil para referenciar en la DPIA cuando hay cambios), Termerly es gratis y simplifica la operación legal del SaaS desde el dashboard.