Los proyectos de IA activan el artículo 35 del RGPD con más frecuencia que casi cualquier otro tratamiento: entrenamiento de modelos con datos personales, decisiones automatizadas, supervisión sistemática, RAG sobre repositorios de datos personales. Esta plantilla le ofrece una evaluación de impacto en la protección de datos completa y específica para IA: un checklist de cribado basado en los criterios del CEPD, una descripción del tratamiento estructurada en torno al entrenamiento y la inferencia, un registro de riesgos precargado y los registros de consulta y aprobación que espera una autoridad de control.
Una EIPD es obligatoria cuando el tratamiento puede entrañar un alto riesgo para las personas. Tres supuestos del artículo 35(3) del RGPD la exigen siempre, y según las directrices del CEPD se requiere una EIPD cuando se cumplen dos o más de los nueve criterios de riesgo. Estos patrones de IA son los que con más frecuencia cruzan ese umbral.
Regla práctica de las directrices del CEPD: dos o más de los nueve criterios exigen una EIPD, y uno solo puede bastar. La ICO británica considera la IA una tecnología innovadora: IA más cualquier otro criterio exige una DPIA según su lista. En caso de duda, haga la EIPD.
Siete partes le llevan del cribado a la aprobación, con tablas preestructuradas para tratamientos de IA.
Los supuestos del artículo 35(3), los nueve criterios del CEPD con su lectura específica para IA y un resultado de cribado documentado.
Finalidad, base jurídica, categorías y fuentes de datos, flujos de entrenamiento e inferencia, proveedor del modelo y ubicaciones de alojamiento, conservación y subencargados.
Diez preguntas basadas en evidencias sobre minimización, alternativas a la IA, transparencia, derechos de los interesados y garantías del artículo 22.
Un registro precargado con diez riesgos de IA para los interesados, puntuados por probabilidad y gravedad: memorización, sesgos, inferencias sensibles, sobreexposición por RAG y más.
Una tabla de medidas vinculada a cada riesgo, con responsables, estado y puntuación del riesgo residual, más el activador de la consulta del artículo 36.
Registro de la consulta al DPD, tabla de aprobaciones, checklist de integración de resultados y un calendario de revisión con activadores propios de la IA, como los cambios de modelo.
Ambas evaluaciones se solapan pero responden a preguntas distintas. La mayoría de los programas de gobernanza de la IA necesitan las dos: la evaluación de impacto de la IA para decidir si se despliega y cómo hacerlo de forma responsable, y la EIPD para cumplir el RGPD cuando hay datos personales.
Esta plantilla
Más amplia, voluntaria o impuesta por políticas internas
No se puede evaluar lo que no se ve. Aona descubre cada herramienta de IA en uso en su organización, muestra qué datos personales fluyen hacia ellas y le proporciona el inventario listo para auditoría del que dependen sus EIPD.