Evaluación de Impacto en Protección de Datos (EIPD): Cuándo y Cómo
Evaluación de Impacto en Protección de Datos: La Herramienta Clave que tu Empresa no Puede Ignorar
La Evaluación de Impacto en Protección de Datos (EIPD) es uno de los instrumentos más poderosos — y menos comprendidos — de la Ley 21.719. No es un trámite burocrático más. Es un ejercicio estratégico que puede marcar la diferencia entre un tratamiento de datos que respeta los derechos de las personas y uno que le cueste a tu organización cientos de millones de pesos en multas.
A partir del 1 de diciembre de 2026, cuando entre en plena vigencia la nueva ley de protección de datos personales en Chile, toda organización que realice tratamientos de alto riesgo estará obligada a completar una EIPD antes de iniciar ese tratamiento. No después. No durante. Antes.
En esta guía te explicamos qué es exactamente una EIPD, cuándo la Ley 21.719 la exige, cómo realizarla paso a paso, y cómo herramientas como datOK pueden simplificar todo el proceso.
---
¿Qué es una Evaluación de Impacto en Protección de Datos (EIPD)?
Una EIPD es un análisis sistemático y documentado que permite a una organización identificar, evaluar y mitigar los riesgos que un determinado tratamiento de datos personales puede generar para los derechos y libertades de los titulares.
Piensa en la EIPD como una auditoría preventiva. Antes de lanzar un nuevo sistema, producto o proceso que involucre datos personales de alto riesgo, la organización se detiene y responde formalmente preguntas críticas:
- ¿Qué datos vamos a tratar y por qué?
- ¿Es realmente necesario tratar estos datos para cumplir nuestro objetivo?
- ¿Qué riesgos concretos enfrentan las personas cuyos datos tratamos?
- ¿Qué medidas podemos implementar para reducir esos riesgos a un nivel aceptable?
La EIPD no es un documento estático. Es un proceso vivo que debe actualizarse cada vez que cambian las condiciones del tratamiento: nuevas categorías de datos, nuevas tecnologías, nuevos destinatarios o un aumento significativo en el volumen de datos tratados.
Base legal: Artículo 47 de la Ley 21.719
La obligación de realizar una EIPD está consagrada en el artículo 47 de la Ley 21.719. Este artículo establece que los responsables de datos deben efectuar una evaluación de impacto previamente a la puesta en marcha de cualquier tratamiento que, por su naturaleza, alcance, contexto o finalidades, pueda implicar un alto riesgo para los derechos de los titulares.
El artículo no deja margen a la interpretación discrecional: la EIPD es una obligación legal, no una recomendación de buenas prácticas. Su omisión constituye una infracción que la Agencia de Protección de Datos Personales puede sancionar.
---
¿Cuándo es Obligatoria la EIPD? Los Cuatro Escenarios Clave
La Ley 21.719 identifica categorías específicas de tratamientos que disparan la obligación de realizar una EIPD. Si tu organización se encuentra en alguno de estos escenarios, la evaluación no es opcional.
1. Tratamiento a gran escala de datos sensibles
Cuando una organización trata datos sensibles — salud, origen étnico o racial, opiniones políticas, afiliación sindical, convicciones religiosas, datos genéticos, datos biométricos, orientación sexual — a una escala significativa, la EIPD es obligatoria.
¿Qué significa "gran escala"? La ley no establece un número exacto de registros, pero los criterios incluyen:
- Volumen de datos: número de registros o de titulares afectados.
- Extensión geográfica: si cubre una región completa, múltiples ciudades o todo el territorio nacional.
- Duración: si el tratamiento es continuo y prolongado en el tiempo.
- Proporción de la población: si afecta a un porcentaje significativo de un grupo demográfico.
2. Monitoreo sistemático y masivo de personas
Cualquier sistema que realice vigilancia o seguimiento regular y sistemático de personas en espacios públicos o entornos digitales requiere EIPD previa.
Ejemplos prácticos: redes de cámaras de vigilancia con reconocimiento facial en centros comerciales, sistemas de tracking de comportamiento de usuarios en plataformas digitales a gran escala, monitoreo de empleados mediante software de productividad que registra actividad en pantalla, keystrokes o geolocalización continua.3. Uso de nuevas tecnologías para decisiones automatizadas
Cuando se emplean tecnologías emergentes — inteligencia artificial, machine learning, perfilamiento automatizado, scoring crediticio algorítmico — para tomar decisiones que afecten significativamente a las personas, la EIPD es preceptiva.
El énfasis está en el impacto: si la decisión automatizada puede afectar el acceso a un servicio, la obtención de un crédito, la contratación laboral o cualquier otro aspecto relevante de la vida del titular, la evaluación previa es innegociable.
Ejemplos prácticos: un banco que implementa un modelo de IA para aprobar o rechazar créditos de consumo, una plataforma de empleo que usa algoritmos para filtrar candidatos, un sistema de scoring que determina primas de seguros.4. Transferencias internacionales de datos a países sin protección adecuada
Cuando una organización chilena transfiere datos personales a países que no cuentan con un nivel de protección adecuado reconocido por la Agencia de Protección de Datos Personales, debe realizar una EIPD que evalúe los riesgos específicos de esa transferencia.
Esto es particularmente relevante para empresas que utilizan servicios cloud con servidores en jurisdicciones que podrían no cumplir los estándares chilenos, o que comparten bases de datos con matrices o filiales en países sin legislación de protección de datos equivalente.
Ejemplos prácticos: una empresa chilena que almacena datos de clientes en servidores de un proveedor cloud ubicado en un país sin decisión de adecuación, una filial que comparte bases de datos de empleados con la casa matriz en una jurisdicción sin protección equivalente.---
Metodología Paso a Paso: Cómo Realizar una EIPD
Realizar una EIPD no tiene que ser un proceso caótico ni exclusivo de grandes corporaciones con departamentos legales propios. A continuación, presentamos la metodología en seis fases que cualquier organización puede seguir.
Fase 1: Descripción del tratamiento
El punto de partida es documentar con precisión qué se va a hacer con los datos. Esta descripción debe incluir:
- Naturaleza del tratamiento: qué operaciones se realizarán (recolección, almacenamiento, análisis, transferencia, eliminación).
- Finalidad: para qué se tratan los datos, con objetivos específicos y verificables.
- Categorías de datos: qué tipos de datos se tratarán (identificatorios, financieros, sensibles, biométricos, etc.).
- Categorías de titulares: quiénes son las personas cuyos datos se tratan (clientes, empleados, pacientes, menores de edad, etc.).
- Destinatarios: quiénes tendrán acceso a los datos, incluidos encargados de tratamiento y terceros.
- Plazos de conservación: cuánto tiempo se mantendrán los datos almacenados.
- Base de licitud: cuál es el fundamento legal que autoriza el tratamiento (consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc.).
Fase 2: Evaluación de necesidad y proporcionalidad
Esta fase responde a la pregunta: ¿es realmente necesario tratar estos datos de esta manera para lograr el objetivo?
Los principios clave a evaluar son:
- Necesidad: ¿se pueden alcanzar los mismos objetivos con menos datos o datos menos sensibles?
- Proporcionalidad: ¿el volumen y la naturaleza de los datos recolectados son proporcionales a la finalidad declarada?
- Minimización: ¿se está recolectando solo lo estrictamente indispensable?
- Limitación de finalidad: ¿los datos se usarán exclusivamente para el fin declarado?
Si en esta fase descubres que puedes lograr el mismo resultado con un dataset más reducido, con datos anonimizados o con técnicas de seudonimización, deberías rediseñar el tratamiento antes de continuar.
Fase 3: Identificación y evaluación de riesgos
Aquí se identifican los riesgos específicos que el tratamiento puede generar para los titulares. Los riesgos típicos incluyen:
| Tipo de riesgo | Ejemplos concretos |
|---|---|
| Acceso no autorizado | Brecha de seguridad, hackeo, robo de credenciales |
| Uso indebido | Datos usados para fines no declarados, venta a terceros |
| Discriminación | Decisiones algorítmicas sesgadas, perfilamiento discriminatorio |
| Pérdida de datos | Fallos de backup, destrucción accidental, ransomware |
| Daño reputacional al titular | Exposición pública de datos de salud, financieros o íntimos |
| Limitación de derechos | Imposibilidad de ejercer derechos ARCO, bloqueo de portabilidad |
Cada riesgo debe evaluarse en dos dimensiones:
- Probabilidad: ¿qué tan probable es que ocurra? (baja / media / alta)
- Impacto: si ocurre, ¿qué tan grave es el daño para el titular? (menor / moderado / severo)
El cruce de ambas dimensiones genera una matriz de riesgo que permite priorizar las medidas de mitigación.
Fase 4: Medidas de mitigación
Para cada riesgo identificado con nivel medio o alto, se deben definir medidas concretas para reducirlo. Estas medidas pueden ser:
Técnicas:- Cifrado de datos en reposo y en tránsito.
- Controles de acceso basados en roles (RBAC).
- Seudonimización o anonimización cuando sea posible.
- Registros de auditoría (logs) de todo acceso y modificación.
- Copias de seguridad automatizadas con pruebas de restauración.
- Evaluaciones periódicas de vulnerabilidades y pruebas de penetración.
- Políticas internas de tratamiento de datos documentadas y socializadas.
- Capacitación periódica al personal que accede a datos personales.
- Acuerdos de confidencialidad con todos los encargados de tratamiento.
- Procedimientos formales de respuesta ante incidentes de seguridad.
- Revisión periódica de accesos y privilegios.
- Cláusulas contractuales tipo para transferencias internacionales.
- Actualización de políticas de privacidad conforme a la Ley 21.719.
- Mecanismos accesibles para el ejercicio de derechos ARCO.
- Revisión de bases de licitud para cada tratamiento.
Fase 5: Documentación formal
Todo el proceso debe quedar documentado de manera exhaustiva. La EIPD documentada debe incluir como mínimo:
- Descripción detallada del tratamiento (Fase 1).
- Análisis de necesidad y proporcionalidad (Fase 2).
- Matriz de riesgos con evaluación de probabilidad e impacto (Fase 3).
- Plan de mitigación con medidas específicas, responsables y plazos (Fase 4).
- Conclusión: riesgo residual aceptable o necesidad de consulta previa a la Agencia.
- Fecha de la evaluación y plan de revisión periódica.
- Firma del responsable del tratamiento y, si corresponde, del DPO.
Esta documentación no es para archivar en un cajón. Es la evidencia probatoria que demuestra ante la Agencia que tu organización actuó con diligencia. En caso de un incidente, contar con una EIPD rigurosa y actualizada es un atenuante significativo.
Fase 6: Revisión y actualización continua
La EIPD no es un documento de una sola vez. Debe revisarse y actualizarse cuando:
- Cambien las finalidades del tratamiento.
- Se incorporen nuevas categorías de datos o datos más sensibles.
- Se modifiquen las tecnologías utilizadas.
- Se amplíe el alcance geográfico o la escala del tratamiento.
- Ocurra un incidente de seguridad relacionado.
- La Agencia emita nuevas directrices o criterios interpretativos.
Como mínimo, se recomienda una revisión anual incluso si no han ocurrido cambios sustanciales.
---
¿Quién Participa en la EIPD?
Una EIPD efectiva no es un ejercicio individual. Requiere la participación coordinada de múltiples roles dentro de la organización:
- Responsable del tratamiento: la persona o área que decide los fines y medios del tratamiento. Tiene la responsabilidad final de que la EIPD se realice y se cumplan sus conclusiones.
- Delegado de Protección de Datos (DPO): cuando la organización tiene un DPO designado conforme al artículo 50 de la Ley 21.719, este debe participar activamente en la EIPD y emitir su opinión. El DPO supervisa que la metodología sea rigurosa y que las conclusiones sean adecuadas.
- Equipo de tecnología / TI: aporta la visión técnica sobre la infraestructura, las medidas de seguridad existentes y las posibilidades de implementar controles adicionales.
- Área legal: valida las bases de licitud, revisa la conformidad contractual con encargados y asesora sobre las obligaciones legales aplicables.
- Áreas de negocio: los equipos que utilizarán los datos en la práctica deben participar para garantizar que la descripción del tratamiento sea precisa y las medidas de mitigación sean viables operativamente.
- Titulares de los datos (cuando sea factible): en ciertos casos, consultar a los propios titulares o a sus representantes puede enriquecer la evaluación de riesgos con perspectivas que la organización no tiene.
---
Consulta Previa con la Agencia de Protección de Datos
Existe un escenario especial: cuando, tras completar la EIPD, el riesgo residual sigue siendo alto y la organización no encuentra medidas de mitigación suficientes para reducirlo a un nivel aceptable. En ese caso, el artículo 47 de la Ley 21.719 contempla la posibilidad de realizar una consulta previa a la Agencia de Protección de Datos Personales.
La consulta previa no es un permiso para tratar datos. Es un mecanismo mediante el cual la Agencia:
- Revisa la EIPD presentada.
- Evalúa si los riesgos residuales son proporcionales a los beneficios del tratamiento.
- Puede recomendar medidas adicionales de mitigación.
- Puede instruir la prohibición o limitación del tratamiento si considera que los riesgos para los titulares son desproporcionados.
> Punto crítico: iniciar un tratamiento de alto riesgo sin haber realizado la EIPD previa y sin consultar a la Agencia cuando el riesgo residual lo amerita, expone a la organización a sanciones graves y a la anulación del tratamiento.
---
EIPD (Chile) vs. DPIA (GDPR): Comparativa Práctica
Para las organizaciones multinacionales o aquellas familiarizadas con el marco europeo, es útil entender cómo se comparan ambos instrumentos.
| Aspecto | EIPD (Ley 21.719, Chile) | DPIA (Art. 35, GDPR) |
|---|---|---|
| Base legal | Art. 47, Ley 21.719 | Art. 35, GDPR |
| Autoridad supervisora | Agencia de Protección de Datos Personales | Autoridades nacionales de protección de datos (DPAs) |
| Momento de ejecución | Antes de iniciar el tratamiento | Antes de iniciar el tratamiento |
| Gatillante | Alto riesgo para derechos y libertades | Alto riesgo para derechos y libertades |
| Consulta previa | Sí, a la Agencia (Art. 47) | Sí, a la DPA nacional (Art. 36) |
| Sanción por omisión | Hasta 10.000 UTM (~$715M CLP) | Hasta €10 millones o 2% facturación |
| Participación del DPO | Recomendada / requerida cuando existe DPO | Requerida cuando existe DPO (Art. 35.2) |
| Guías oficiales disponibles | En desarrollo por la Agencia | Guías del EDPB consolidadas (WP248) |
| Listas de tratamientos obligatorios | Pendiente publicación por la Agencia | Publicadas por cada DPA nacional |
Ventaja para empresas con operaciones en Europa: si tu organización ya realiza DPIAs bajo el GDPR, tienes una base metodológica sólida. La adaptación a la EIPD chilena requerirá ajustes en las referencias legales (bases de licitud, articulado) y los mecanismos de consulta, pero la estructura conceptual es altamente compatible.---
Errores Comunes al Realizar una EIPD
Evita estas trampas que pueden invalidar tu evaluación o debilitar tu posición ante la Agencia:
- Realizarla después de iniciar el tratamiento: la EIPD es un instrumento preventivo. Si la haces retroactivamente, pierde su valor como evidencia de diligencia.
- Tratarla como un checklist genérico: copiar y pegar una plantilla sin adaptarla a tu tratamiento específico es prácticamente inútil. La Agencia evaluará si la EIPD refleja un análisis genuino y particularizado.
- Excluir riesgos incómodos: la tentación de minimizar riesgos para que el resultado "dé bien" es contraproducente. Si luego ocurre un incidente relacionado con un riesgo no documentado, la omisión se convierte en agravante.
- No involucrar al DPO: si tu organización tiene un Delegado de Protección de Datos, su ausencia en la EIPD es una señal de alarma para la Agencia.
- No actualizarla: una EIPD de hace dos años sobre un sistema que ha cambiado significativamente es tan útil como no tenerla.
---
Simplifica tu EIPD con datOK
Sabemos que realizar una Evaluación de Impacto en Protección de Datos puede parecer abrumador, especialmente si tu organización no cuenta con un equipo legal especializado. Por eso datOK ha desarrollado un módulo de EIPD guiado diseñado para empresas chilenas de cualquier tamaño.
¿Qué te ofrece el módulo de EIPD de datOK?
- 📋 Cuestionario guiado paso a paso: responde preguntas estructuradas que cubren las seis fases de la metodología, sin necesidad de conocimientos legales avanzados.
- 🎯 Detector automático de obligatoriedad: ingresa las características de tu tratamiento y datOK te indica si la EIPD es obligatoria según los criterios del artículo 47.
- ⚠️ Matriz de riesgos integrada: identifica y clasifica riesgos automáticamente según probabilidad e impacto, con sugerencias de mitigación basadas en mejores prácticas.
- 📄 Generación de documento formal: exporta tu EIPD completa en formato PDF, lista para presentar ante la Agencia o para archivo interno de cumplimiento.
- 🔄 Recordatorios de revisión: datOK te avisa automáticamente cuando es momento de actualizar tu evaluación.
- 🔗 Integración con tu Registro de Actividades de Tratamiento (RAT): vincula cada EIPD con el tratamiento correspondiente en tu inventario de datos.
Plan gratuito para PYMEs
Si eres una micro, pequeña o mediana empresa, puedes comenzar a usar datOK sin costo. El plan gratuito incluye las funcionalidades esenciales para realizar tu primera EIPD y prepararte antes de que venza el período de gracia en diciembre de 2027.
👉 Comienza gratis en datok.cl — Realiza tu primera EIPD en menos de una hora.
---
Conclusión: La EIPD es Prevención, no Burocracia
La Evaluación de Impacto en Protección de Datos no es un trámite que tu organización deba sufrir. Es una herramienta estratégica que te permite:
- Detectar problemas antes de que ocurran, cuando corregirlos es barato y sencillo.
- Demostrar diligencia ante la Agencia, lo que funciona como atenuante en caso de incidentes.
- Construir confianza con tus clientes y usuarios, que cada vez valoran más la transparencia en el tratamiento de sus datos.
- Evitar multas de hasta $715 millones CLP por omitir una evaluación que era obligatoria.
La Ley 21.719 entra en plena vigencia el 1 de diciembre de 2026. Si tu organización realiza tratamientos de alto riesgo — datos sensibles a gran escala, monitoreo masivo, inteligencia artificial, transferencias internacionales — la EIPD no puede esperar.
Empieza hoy con datOK y convierte la evaluación de impacto en una ventaja competitiva, no en una carga.❓ Preguntas Frecuentes
¿Listo para cumplir la Ley 21.719?
datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.
Crear cuenta gratis