DPIA

Evaluación de impacto relativa a la protección de datos exigida por el artículo 35 del RGPD para tratamientos que probablemente entrañen un alto riesgo para los derechos y libertades de las personas.

Qué es DPIA?

La DPIA documenta una descripción sistemática del tratamiento previsto, una evaluación de la necesidad y proporcionalidad, una evaluación de los riesgos y las medidas previstas para afrontarlos. La AEPD ha publicado listas de tipos de tratamiento que requieren DPIA obligatoria, incluyendo el uso de IA para perfilado, decisiones automatizadas con efecto jurídico, tratamiento masivo de datos especiales y tratamientos con dispositivos biométricos. Si la DPIA muestra un riesgo residual alto, debe consultarse a la autoridad de control antes de iniciar el tratamiento.

Cómo se aplica DPIA en la IA empresarial?

Para sistemas de IA, la DPIA y el sistema de gestión de riesgos del artículo 9 de la Ley de IA de la UE comparten métodos pero no son equivalentes. La DPIA mira riesgos para los derechos del interesado; la gestión de riesgos de IA mira riesgos para la salud, seguridad y derechos fundamentales en sentido amplio. En la práctica, una DPIA bien construida cubre el 60% al 80% de la documentación que el Anexo IV de la Ley exigirá. Hacerlas en paralelo ahorra reescribir.