eipd

/eipd

1. Cargar ~/.claude/plugins/config/claude-para-abogados/privacidad/CLAUDE.md → formato house de EIPD, proceso, criterios.
2. Determinar si la EIPD es obligatoria (si hay duda, usar /privacidad:triaje primero).
3. Recopilar información del tratamiento (preguntar lo que falte).
4. Generar la EIPD en el formato configurado.
5. Evaluar si procede consulta previa a la AEPD (art. 36 RGPD).

/privacidad:eipd
Queremos implementar un sistema de reconocimiento facial para control de acceso
en las oficinas.

Propósito

La EIPD es obligatoria cuando un tratamiento entraña alto riesgo para los derechos y libertades de las personas físicas. Es el documento más completo del sistema de accountability del RGPD y debe realizarse antes de iniciar el tratamiento. Este skill genera la EIPD completa siguiendo la estructura del art. 35.7 RGPD y las guías de la AEPD.

Cuándo es obligatoria la EIPD

Supuestos del art. 35.3 RGPD

• Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado, incluida la elaboración de perfiles, con efectos jurídicos o significativos
• Tratamiento a gran escala de categorías especiales de datos (art. 9) o datos de condenas penales (art. 10)
• Observación sistemática a gran escala de una zona de acceso público

Lista obligatoria de la AEPD (2019)

La AEPD publicó una lista de tratamientos que requieren EIPD. Incluye, entre otros:

• Perfilado (evaluación o predicción de aspectos personales)
• Toma de decisiones automatizadas con efectos jurídicos
• Observación, geolocalización o control del interesado de forma sistemática
• Tratamiento de datos especialmente protegidos o de naturaleza muy personal
• Tratamiento de datos a gran escala
• Asociación o combinación de conjuntos de datos
• Datos de sujetos vulnerables (menores, empleados, pacientes)
• Uso innovador de tecnologías
• Transferencias internacionales a países sin nivel adecuado
• Tratamientos que impidan ejercer derechos o acceder a un servicio/contrato

Regla de los dos criterios: Si el tratamiento cumple dos o más de los criterios del Grupo de Trabajo del Artículo 29 (WP248 rev.01), generalmente requiere EIPD.

Estructura de la EIPD (art. 35.7 RGPD)

1. Descripción sistemática del tratamiento

2. Necesidad y proporcionalidad

• ¿El tratamiento es necesario para la finalidad declarada? ¿Hay alternativas menos intrusivas?
• ¿Los datos recogidos son proporcionales a la finalidad? ¿Se aplica minimización (art. 5.1.c)?
• ¿La base jurídica es adecuada y está correctamente identificada?
• ¿Se informa a los interesados (arts. 13-14 RGPD)?
• ¿Se garantizan los derechos de los interesados (arts. 15-22)?
• ¿Existe mecanismo de limitación de conservación?

3. Identificación y evaluación de riesgos

Para cada riesgo identificado:

Categorías de riesgo a evaluar:

• Acceso ilegítimo a datos
• Modificación no autorizada
• Pérdida de datos
• Discriminación
• Usurpación de identidad
• Pérdida de confidencialidad
• Limitación de derechos
• Perjuicio económico o social

4. Medidas de mitigación

Para cada riesgo identificado, proponer medidas concretas:

Medidas habituales:

• Técnicas: cifrado, seudonimización, control de acceso, logs de auditoría, backups
• Organizativas: formación, políticas internas, contratos de confidencialidad, auditorías periódicas, DPO designado

Evaluación de riesgo residual y consulta previa

Si tras aplicar las medidas de mitigación el riesgo residual sigue siendo alto, es obligatorio realizar consulta previa a la AEPD antes de iniciar el tratamiento (art. 36 RGPD).

La consulta debe incluir: responsabilidades del responsable y encargado, fines y medios del tratamiento, medidas para proteger derechos, datos de contacto del DPO, y la propia EIPD.

La AEPD dispone de 8 semanas (prorrogables 6 semanas más) para responder.

Formato de salida

# Evaluación de Impacto en Protección de Datos (EIPD)

**Tratamiento:** [nombre]
**Responsable:** [empresa]
**Fecha:** [fecha]
**Versión:** [número]
**Autor:** [nombre / equipo]
**DPO consultado:** [Sí/No — fecha]

---

## 1. Descripción del tratamiento
[Tabla descriptiva completa]

## 2. Necesidad y proporcionalidad
[Análisis punto por punto]

## 3. Riesgos identificados
[Tabla de riesgos con probabilidad, impacto y nivel]

## 4. Medidas de mitigación
[Tabla de medidas con riesgo residual]

## 5. Conclusión
[Riesgo residual global: alto/medio/bajo]
[¿Procede consulta previa a la AEPD? Sí/No — justificación]

## 6. Plan de acción
| Medida | Responsable | Plazo | Estado |
|---|---|---|---|

Legislación de referencia

• RGPD art. 35 (evaluación de impacto relativa a la protección de datos)
• RGPD art. 36 (consulta previa)
• LOPDGDD art. 28 (obligaciones generales del responsable)
• Lista de tratamientos que requieren EIPD (AEPD, 2019)
• Guía práctica para las evaluaciones de impacto de la AEPD
• Directrices del CEPD (WP248 rev.01) sobre EIPD

Lo que este skill NO hace

• No sustituye el juicio del DPO — la EIPD requiere su informe (art. 35.2 RGPD).
• No realiza la consulta previa a la AEPD — señala cuándo es necesaria.
• No evalúa medidas de seguridad técnicas en detalle — eso es responsabilidad del equipo de seguridad.