DPIA — Evaluación de Impacto en Protección de Datos
La DPIA (Data Protection Impact Assessment), llamada EIPD (Evaluación de Impacto en Protección de Datos) en la legislación chilena, es el proceso formal con el que evalúas anticipadamente los riesgos que un tratamiento de datos personales puede provocar sobre los derechos y libertades de los titulares, antes de iniciar dicho tratamiento.
El módulo DPIA de DPOLab permite:
- Ejecutar una preevaluación automática sobre una actividad del RAT para determinar si la DPIA es obligatoria, recomendada o no necesaria (Art. 15 ter Ley 21.719).
- Documentar la evaluación completa: descripción del tratamiento, necesidad y proporcionalidad, riesgos identificados con probabilidad e impacto, medidas de mitigación, conclusión y recomendación.
- Aprobar formalmente la DPIA mediante un flujo de trabajo con trazabilidad completa, donde el DPO (Data Protection Officer), también denominado DPD (Delegado de Protección de Datos) en la legislación chilena, actúa como aprobador.
- Exportar el informe en PDF para el expediente regulatorio o para una eventual consulta previa a la APDP.
La referencia normativa principal es el Art. 15 ter Ley 21.719, que establece los criterios de obligatoriedad de la EIPD (letras a–d) y la obligación de consulta previa a la APDP cuando el riesgo residual es alto. La DPIA está disponible desde el plan Professional; el plan Starter no incluye este módulo.
Requisitos regulatorios
| Marco | Artículo | Requisito |
|---|---|---|
| Ley 21.719 | Art. 15 ter | EIPD obligatoria cuando el tratamiento suponga alto riesgo para los derechos del titular (letras a–d) |
| Ley 21.719 | Art. 15 ter inc. final | Consulta previa a la APDP si el riesgo residual sigue siendo alto tras aplicar las medidas de mitigación |
| Ley 21.719 | Art. 16 | Datos sensibles activan el criterio de obligatoriedad de la EIPD |
| GDPR | Art. 35 | Base de referencia para los criterios: decisiones automatizadas, gran escala, monitoreo sistemático, datos sensibles |
| ISO 27701 | §6.12 | Evaluación de impacto en privacidad como parte del sistema de gestión de privacidad |
Cómo acceder
- En DPOLab, ve a DPIA en el menú lateral.
- Desde la ficha de una actividad RAT, abre la pestaña DPIA y pulsa Ejecutar preevaluación.
- Alternativamente, crea una DPIA directamente desde DPIA → Nueva evaluación y selecciona la actividad vinculada.
El plan Starter no incluye el módulo DPIA. Para acceder a esta funcionalidad, actualiza tu plan. Contáctanos en [email protected].
Funcionalidades principales
| Funcionalidad | Descripción |
|---|---|
| Preevaluación automática | Evalúa 6 criterios del Art. 15 ter y devuelve un veredicto: DPIA obligatoria, recomendada o no necesaria |
| Vinculación con el RAT | Cada DPIA se asocia a una actividad de tratamiento. Solo puede existir una DPIA activa por actividad |
| Gestión de riesgos | Riesgos específicos de la evaluación con probabilidad × impacto en escala 1–5 |
| Medidas de mitigación | Seguimiento del estado de cada medida: Pendiente → En progreso → Implementada → Verificada |
| Flujo de aprobación | El DPO u otro rol aprobador revisa y aprueba la DPIA desde el panel de flujo de trabajo |
| Exportación PDF | El proceso es asíncrono: DPOLab genera el PDF en segundo plano y te avisa cuando está listo |
| Cifrado en reposo | Las descripciones del tratamiento y los riesgos se protegen con cifrado AES-256-GCM |
Paso a paso
Ejecuta la preevaluación sobre la actividad RAT
Desde la ficha de la actividad en el RAT, abre la pestaña DPIA y pulsa Ejecutar preevaluación. DPOLab evalúa automáticamente 6 criterios leyendo los campos de la actividad:
- Datos sensibles — Art. 16 Ley 21.719 (salud, biométricos, origen étnico, vida sexual, etc.).
- Decisiones automatizadas o elaboración de perfiles — Art. 8 bis Ley 21.719.
- Gran escala — volumen superior a 10.000 titulares.
- Titulares vulnerables — menores, pacientes u otras personas en situación de vulnerabilidad.
- Observación sistemática — videovigilancia, monitoreo continuo de comportamiento.
- Transferencias internacionales — flujos de datos fuera del territorio chileno.
DPOLab combina los criterios y devuelve uno de tres veredictos:
- DPIA obligatoria — factor crítico presente (datos sensibles combinados con decisiones automatizadas; o menores con datos sensibles) o puntaje de riesgo de la actividad superior a 70 / nivel Alto.
- DPIA recomendada — se cumplen 1 o 2 criterios sin factor crítico combinado.
- DPIA no necesaria — no se cumplen criterios de riesgo.
Crea la evaluación
Si la preevaluación determina que la DPIA es obligatoria o recomendada, pulsa Crear DPIA. Se abre el formulario con la actividad RAT precargada.
Campos obligatorios: título y entidad legal responsable.
Campos recomendados: descripción detallada del tratamiento, descripción del flujo de datos, justificación de necesidad y análisis de proporcionalidad.
Una actividad RAT solo puede tener una DPIA activa asociada. Si ya existe una para esa actividad, DPOLab te redirigirá a ella directamente.
Identifica los riesgos
En la pestaña Riesgos de la DPIA, agrega cada riesgo identificado:
- Título y descripción del riesgo.
- Categoría: Confidencialidad, Integridad, Disponibilidad, Derechos de privacidad, Físico, Terceros, Legal/regulatorio.
- Probabilidad e impacto en escala 1–5. El puntaje se calcula automáticamente como probabilidad × impacto (máximo 25).
Los riesgos identificados en la DPIA también se reflejan en el módulo Gestión de Riesgos y alimentan el mapa de calor 5×5 del tenant. Puedes ver todos los riesgos consolidados en Gestión de Riesgos.
Documenta las medidas de mitigación
Por cada riesgo, agrega las medidas previstas o implementadas:
- Título y descripción de la medida.
- Estado: Pendiente → En progreso → Implementada → Verificada (o Cancelada).
- Fecha límite para implementarla.
- Notas internas opcionales.
Envía a revisión y aprueba
Cuando el contenido esté completo, pulsa Enviar a revisión. El estado pasa de Borrador a En revisión y se inicia el flujo de aprobación.
Las acciones Aprobar y Rechazar están disponibles en el panel de flujo de trabajo para los usuarios con rol DPO, Propietario o Administrador. Al aprobar, la DPIA pasa al estado Aprobada y queda inmutable. Al rechazar, vuelve al estado Borrador con las observaciones del revisor.
Exporta el PDF
Pulsa Exportar PDF. El proceso es asíncrono: DPOLab genera el documento en segundo plano y te notifica cuando está listo para descargar. Mientras tanto, puedes seguir trabajando en otras partes de la plataforma.
Campos y datos
| Campo | Obligatorio | Descripción |
|---|---|---|
| Título | Sí | Nombre descriptivo de la DPIA (máx. 500 caracteres) |
| Entidad legal | Sí | Entidad legal responsable del tratamiento |
| Actividad RAT vinculada | No | Actividad del RAT que origina esta evaluación. Si se omite, no hay precargado automático de datos |
| Descripción del tratamiento | No | Descripción detallada. Se almacena cifrada en reposo |
| Descripción del flujo de datos | No | Cómo circulan los datos en el tratamiento. Se almacena cifrada en reposo |
| Justificación de necesidad | No | Análisis de necesidad y proporcionalidad del tratamiento |
| Recomendación | No | Proceder / Proceder con mitigaciones / Consultar a la APDP / No proceder |
Estados y flujo de vida
| Estado | Descripción | Editable |
|---|---|---|
| Borrador | En preparación | Sí |
| En revisión | Enviada al flujo de aprobación; no se puede editar | No |
| Aprobada | Aprobada formalmente. Inmutable | No |
| Rechazada | Rechazada con observaciones; vuelve al estado Borrador para correcciones | Sí (tras el rechazo) |
Borrador → En revisión → Aprobada
↘ Rechazada → BorradorRestricciones por plan
| Característica | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Acceso al módulo DPIA | No | Sí | Sí | Sí |
| Preevaluación automática | No | Sí | Sí | Sí |
| Flujo de aprobación configurable | No (1 paso) | Sí | Sí | Sí |
| Exportación PDF | No | Sí | Sí | Sí |
| Vinculación con Gestión de Riesgos | No | Sí | Sí | Sí |
Relación con otros módulos
| Módulo | Cómo se conecta |
|---|---|
| RAT | La DPIA siempre se crea sobre una actividad del RAT. La preevaluación lee los datos de la actividad (datos sensibles, factores de riesgo, volumen, transferencias internacionales). Una DPIA aprobada actualiza el bloque DPIA en la ficha de la actividad |
| Gestión de Riesgos | Los riesgos identificados en la DPIA se registran en el módulo de Gestión de Riesgos y alimentan el mapa de calor 5×5 del tenant. Desde Gestión de Riesgos también puedes vincular riesgos existentes a una DPIA |
| Flujos de trabajo | Al enviar a revisión, se inicia el flujo de aprobación configurado (o el flujo por defecto de un solo paso si no hay uno personalizado). Las acciones Aprobar y Rechazar viven en el panel de flujo de trabajo |
| Contratos DPA | Una DPIA aprobada puede ser el paso previo obligatorio antes de firmar un DPA con un encargado en una jurisdicción sin nivel adecuado de protección |
| Gobernanza | Las DPIAs aprobadas se incluyen en los informes de cumplimiento (Art. 15 ter Ley 21.719) y en el componente DPIA del puntaje de cumplimiento (peso 20%) |
| Glosario | Al crear una DPIA desde una actividad RAT, los campos de datos personales del Glosario asociados a esa actividad se precargan automáticamente |
Ver también
Ver también: Gestión de Riesgos · RAT · Terceros · Contratos DPA · Referencia de API — DPIA