¿Cómo se articulan EIPD y registro de actividades de tratamiento?

El registro de actividades enumera todos los tratamientos de la organización (artículo 30 RGPD). La EIPD profundiza el análisis para los tratamientos de alto riesgo. Buena práctica: toda EIPD realizada referencia el tratamiento correspondiente en el registro (número de ficha, versión), y a la inversa, la ficha del registro indica si existe una EIPD (con fecha, versión, responsable). Ambos documentos se remiten mutuamente. Sin esta coherencia, el registro se considera incompleto en caso de inspección.

EIPD para un proyecto de IA: guía práctica 2026 (RGPD + Reglamento IA)

Q: ¿Cuánto tiempo lleva redactar una EIPD de IA?

Para un proyecto de IA simple con riesgo moderado (extracción documental, clasificación de correos no sensibles): 2 a 4 jornadas-persona. Para un proyecto de alto riesgo (scoring de RR. HH., biometría, IA sobre datos de salud): 5 a 15 jornadas-persona repartidas a lo largo de 3 a 8 semanas, incluyendo la consulta a las partes interesadas, la validación del DPD y los ajustes posteriores a la revisión. Una EIPD apresurada vale menos que ninguna EIPD — incluso puede agravar la situación en caso de inspección («lo sabían y no hicieron nada»).

Q: EIPD y Reglamento IA: ¿qué se acumula?

La EIPD es una obligación del RGPD (artículo 35). Para los sistemas de IA clasificados como de alto riesgo por el Reglamento IA (RR. HH., scoring, biometría, infraestructura crítica, acceso a la educación), se añaden obligaciones adicionales: sistema de gestión de riesgos (artículo 9 Reglamento IA), calidad de los datos (artículo 10), documentación técnica (artículo 11), transparencia hacia los usuarios (artículo 13), supervisión humana (artículo 14), robustez y precisión (artículo 15). En la práctica, se redacta una EIPD ampliada única que cubre simultáneamente ambos marcos para evitar la duplicación.

Q: ¿Debe ser validada la EIPD por la AEPD?

No, salvo casos especiales. La EIPD se redacta y valida internamente por el DPD y el responsable del tratamiento. Solo debe presentarse a la AEPD si subsiste un alto riesgo residual tras la implementación de las medidas de mitigación (artículo 36 RGPD — consulta previa). En la práctica, menos del 5 % de las EIPDs justifican una consulta previa. El resto permanece documentado internamente, a disposición de la AEPD en caso de inspección.

Q: ¿Cuáles son las trampas clásicas de una EIPD de IA?

Tres trampas recurrentes. Una, la subestimación de los riesgos específicos de IA — sesgos, alucinaciones, opacidad — que no aparecen en una EIPD genérica. Dos, el olvido de las transferencias fuera del EEE cuando el proyecto utiliza un LLM SaaS estadounidense: DPF, Cloud Act, transfer impact assessment deben quedar documentados. Tres, la ausencia de plan de seguimiento — una EIPD es un documento vivo que debe revisarse periódicamente y ante cada evolución sustancial. Una EIPD congelada en la fecha de puesta en servicio pierde su valor en seis meses.

Respuesta rápida: ¿qué es una EIPD para un proyecto de IA?

Una EIPD (Evaluación de Impacto en la Protección de Datos, en inglés DPIA) es un estudio escrito y oponible, obligatorio antes de iniciar determinados tratamientos de riesgo, que describe lo que la organización va a hacer con los datos personales y las medidas que ha implantado para limitar los peligros para las personas afectadas.

Para un proyecto de IA en 2026, evalúa de forma acumulativa:

Riesgos asociados al modelo: sesgos de entrenamiento, alucinaciones (respuestas inventadas), opacidad del algoritmo, vulnerabilidades de seguridad.
Riesgos asociados a los datos: volumen, sensibilidad (RGPD artículo 9 — salud, opiniones políticas, biometría), procedencia, licitud de la recogida.
Riesgos de despliegue: supervisión humana, transparencia hacia las personas, vías de recurso.
Riesgos jurídicos: transferencias fuera del EEE (DPF, Cloud Act), plazos de conservación, articulación con el Reglamento IA.

¿Cuándo es obligatoria? Para todo tratamiento de IA de alto riesgo: elaboración de perfiles con decisión automatizada (RR. HH., scoring crediticio), vigilancia sistemática, datos sensibles a gran escala, decisiones con efecto jurídico, evaluación de empleados. Véase la lista AEPD de tratamientos sometidos obligatoriamente a EIPD.

¿Cuánto tiempo? 2 a 4 jornadas-persona para un proyecto de IA simple. 5 a 15 jornadas-persona repartidas en 3 a 8 semanas para un proyecto de alto riesgo.

Articulación con el Reglamento IA: la EIPD cubre el RGPD (artículo 35). Para los sistemas de IA clasificados como de alto riesgo por el Reglamento IA, se añaden obligaciones adicionales. En la práctica, se suele redactar una EIPD ampliada única que cubre ambos marcos.

La EIPD no es una formalidad administrativa. Es la herramienta que lleva un proyecto de IA del modo «lanzamos y veremos» al modo «hemos documentado los riesgos y las medidas correspondientes». En una inspección de la AEPD o un control bajo el Reglamento IA, es el primer documento esperado.

Por qué la EIPD de IA se ha vuelto central en 2026

Tres puntos de inflexión han hecho la EIPD imprescindible para todo proyecto de IA serio.

Inflexión 1 — La AEPD ha clarificado los usos de IA de alto riesgo. Entre 2024 y 2025, la AEPD ha publicado varias recomendaciones sectoriales (RR. HH., salud, educación, finanzas) que precisan los casos en que la EIPD es sistemáticamente exigible. Ha consolidado además su herramienta «Gestiona EIPD» como referencia metodológica nacional, complementada por las guías «Adecuación al RGPD de tratamientos que incorporan IA» y «Auditoría de tratamientos que incluyan IA». Antes de 2024 subsistía la duda en numerosos casos. En 2026, la lista es clara y oponible.

Inflexión 2 — El Reglamento IA ha entrado en aplicación progresiva. El Reglamento (UE) 2024/1689 introduce obligaciones específicas para los sistemas de IA clasificados como de alto riesgo. Muchas de estas obligaciones se solapan con la EIPD del RGPD: gestión de riesgos, documentación, transparencia, supervisión humana. España ha designado a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en A Coruña, como autoridad de coordinación bajo el Reglamento IA. Una EIPD bien redactada cubre ahora una parte significativa de las obligaciones del Reglamento IA.

Inflexión 3 — Las sanciones están activas. La Garante italiana sancionó a OpenAI con 15 millones de euros en diciembre de 2024 por falta de análisis documentado. La AEPD ha impuesto multas de entre 50.000 y 5 millones de euros en 2024-2025 por incumplimientos relacionados con IA y biometría (recordemos las sanciones a Mercadona y Worldcoin por uso indebido de biometría). La AEPD ha anunciado en 2026 que la IA es una prioridad de control. Una EIPD ausente o mal hecha expone hoy a un riesgo concreto — no teórico.

En concreto: no hacer EIPD en un proyecto de IA de riesgo en 2026 es exponerse a un incumplimiento directo del artículo 35 RGPD, una no conformidad con el Reglamento IA y un riesgo de sanción que se materializa. El cálculo ha cambiado.

Los 8 casos en que la EIPD de IA es obligatoria

Según la lista AEPD y las recomendaciones del CEPD. Si su proyecto entra en uno de estos casos, la EIPD no es opcional — es esperada.

#	Caso de uso	Ejemplos concretos
1	Elaboración de perfiles a gran escala con decisión automatizada de efecto significativo	Scoring crediticio, asignación de prestaciones sociales, scoring asegurador, scoring de pacientes
2	Vigilancia sistemática en zona de acceso público	Reconocimiento facial, biometría conductual, videovigilancia algorítmica
3	Tratamiento de datos sensibles (artículo 9 RGPD) a gran escala	Salud, opiniones políticas, origen, biometría identificativa, orientación sexual, religión
4	Decisiones automatizadas con efecto jurídico (artículo 22)	Rechazo de contratación, concesión/denegación de crédito, acceso a un servicio público
5	Evaluación sistemática de empleados por un sistema de IA	People analytics, productivity tracking, scoring de RR. HH.
6	Cruce de datos de varias fuentes para construir un perfil	Marketing comportamental enriquecido, scoring de pacientes enriquecido
7	Matching biométrico	Reconocimiento facial, huella vocal
8	IA sobre menores o poblaciones vulnerables	Sanitario (SNS), social, educativo

Para los usos de IA fuera de esta lista, la EIPD sigue siendo recomendada pero no formalmente obligatoria. Regla práctica: si duda, hágala. Una EIPD ligera vale más que ninguna, y documentarla incluso cuando no es obligatoria le protege ante una eventual evolución posterior del proyecto.

La metodología AEPD en 5 pasos

La AEPD ha estructurado la metodología EIPD en 5 pasos que cualquier proyecto de IA puede seguir, accesibles a través de la herramienta «Gestiona EIPD». Cada paso produce un entregable preciso que se integra en el documento final.

Paso 1 — Descripción detallada del tratamiento

Se trata de fijar el marco fáctico, sin interpretación jurídica en esta fase.

Finalidad precisa (redacción operativa, no jurídica — por ejemplo: «acelerar la pre-captura contable de las facturas de proveedores»)
Datos tratados (tipología, sensibilidad, fuentes)
Ciclo de vida del dato (recogida → tratamiento → conservación → supresión)
Arquitectura técnica (LLM utilizado, alojamiento, encargados del tratamiento)
Personas afectadas (categorías, volúmenes, eventuales vulnerabilidades)

Paso 2 — Evaluación de la necesidad y proporcionalidad

Es la fase que la AEPD examina en primer lugar. Condiciona la licitud de todo lo demás.

¿El tratamiento es necesario para la finalidad? ¿Existe una alternativa menos intrusiva?
¿Los datos tratados son mínimos (principio de minimización)?
¿El plazo de conservación es proporcionado?
¿Se respetan los derechos de las personas afectadas (información, acceso, oposición, rectificación, supresión, portabilidad)?

Paso 3 — Identificación de riesgos

Para un proyecto de IA específicamente, la AEPD espera que distinga los riesgos clásicos del RGPD y los riesgos propios de la IA.

Riesgo de acceso ilegítimo a los datos (ciberseguridad, brechas notificables según artículo 33)
Riesgo de modificación no autorizada (integridad, manipulación del modelo, prompt injection)
Riesgo de pérdida (copia de seguridad, reversibilidad del proveedor)
Riesgo algorítmico (sesgos, alucinaciones, discriminación indirecta) — específico de IA
Riesgo de transparencia insuficiente (el usuario no comprende la decisión) — reforzado por el Reglamento IA

Paso 4 — Medidas para tratar los riesgos

Para cada riesgo identificado, una o varias medidas concretas. Nada de «tendremos cuidado» — medidas verificables.

Técnicas: cifrado, seudonimización, control de acceso, registro
Organizativas: política de uso, formación, supervisión humana, procedimiento de incidente
Contractuales: encargo de tratamiento sólido (artículo 28 RGPD), cláusulas de reversibilidad, compromiso de soberanía
Específicas de IA: pruebas de sesgo, documentación del modelo, supervisión sobre decisiones sensibles, mecanismo de feedback del usuario

Paso 5 — Validación y seguimiento

La EIPD es un documento vivo, no un entregable de puesta en servicio.

Aprobación del DPD + responsable del tratamiento
Consulta a las personas afectadas (artículo 35.9 RGPD) si procede
Consulta previa a la AEPD si subsiste alto riesgo residual (artículo 36)
Plan de revisión: como mínimo cada 2 años, o ante cada evolución sustancial (cambio de proveedor, nueva fuente de datos, ampliación de perímetro)

Esquema simplificado del ciclo EIPD

[Marco proyecto IA]
         │
         ▼
[Paso 1 — Descripción] ──► registro de actividades
         │
         ▼
[Paso 2 — Necesidad / proporcionalidad]
         │
         ▼
[Paso 3 — Riesgos] ──► riesgos RGPD + riesgos IA específicos
         │
         ▼
[Paso 4 — Medidas] ──► técnicas / organizativas / contractuales
         │
         ▼
[Paso 5 — Validación] ──► DPD + responsable del tratamiento
         │
         ▼
[¿Alto riesgo residual?] ──Sí──► consulta previa AEPD (artículo 36)
         │ No
         ▼
[Puesta en servicio]
         │
         ▼
[Seguimiento continuo] ◄──── ¿evolución sustancial?
                          ──► revisión EIPD

Plantilla de estructura de una EIPD de IA

Para ahorrar tiempo, este es el índice de una EIPD de IA bien estructurada que se encuentra en 2026 en organizaciones españolas maduras, alineado con la plantilla «Gestiona EIPD» de la AEPD.

1. Identificación del tratamiento
   1.1. Finalidad y descripción
   1.2. Responsable del tratamiento y DPD
   1.3. Encargados (proveedor LLM, alojamiento, integrador)
   1.4. Caso de uso y usuarios

2. Datos tratados
   2.1. Tipología y sensibilidad
   2.2. Fuentes y bases jurídicas
   2.3. Personas afectadas y volúmenes
   2.4. Plazos de conservación

3. Arquitectura IA
   3.1. Modelo utilizado (procedencia, licencia, rendimiento)
   3.2. Datos de entrenamiento (si fine-tuning)
   3.3. Alojamiento y localización
   3.4. Supervisión humana prevista
   3.5. Rendimiento y precisión esperados

4. Evaluación de necesidad y proporcionalidad

5. Análisis de riesgos
   5.1. Riesgos RGPD clásicos (artículo 32)
   5.2. Riesgos específicos de IA (sesgos, alucinaciones, opacidad)
   5.3. Riesgos de transferencias (DPF, Cloud Act)
   5.4. Riesgos para los derechos de las personas

6. Medidas de tratamiento de riesgos
   6.1. Técnicas
   6.2. Organizativas
   6.3. Contractuales (encargo del tratamiento)
   6.4. Específicas de IA

7. Riesgos residuales y aceptabilidad

8. Plan de seguimiento y revisión

9. Anexos (encargo de tratamiento, esquema de arquitectura, plan de continuidad)

Véase nuestra guía IA conforme RGPD para el marco completo y nuestra guía IA soberana para el ángulo de soberanía.

La articulación EIPD + Reglamento IA en 2026

El Reglamento IA introduce para los sistemas de IA de alto riesgo un conjunto de obligaciones que se solapan parcialmente con la EIPD del RGPD. En lugar de producir dos documentos redundantes, la práctica recomendada es la EIPD ampliada.

Tabla de articulación

Obligación	Fuente	Cubierta por EIPD ampliada
Evaluación de impacto	RGPD art. 35	✓
Sistema de gestión de riesgos	Reglamento IA art. 9	✓
Calidad de los datos	Reglamento IA art. 10	✓
Documentación técnica	Reglamento IA art. 11	✓ (anexo)
Transparencia hacia los usuarios	Reglamento IA art. 13	✓
Supervisión humana	Reglamento IA art. 14	✓
Precisión, robustez, ciberseguridad	Reglamento IA art. 15	✓
Información a las personas afectadas	RGPD art. 13-14	Referenciado
Seguridad del tratamiento	RGPD art. 32	✓
Registro de actividades	RGPD art. 30	Referenciado

Este enfoque evita la producción de dos documentos redundantes y facilita la coherencia entre marcos. La Comisión Europea y el CEPD preparan una guía de articulación para 2026 — confirmará la práctica pero no la modificará en su principio. La AESIA, como autoridad de coordinación nacional, está alineada con este enfoque dual.

Casos reales: tres proyectos de IA, tres EIPDs distintas

Caso 1 — Pre-captura contable por IA (riesgo moderado)

Proyecto: extracción automática de la información de facturas de proveedores (importe, proveedor, fecha, líneas) antes de la validación contable humana. Datos afectados: nombres de proveedores, importes, ocasionalmente nombres de empleados en notas de gastos. Volumen: 5.000 facturas/mes.

Nivel de riesgo EIPD: moderado (sin decisión automatizada con efecto jurídico, sin datos sensibles a gran escala, supervisión humana sistemática).

Medidas clave a documentar: confianza por campo con umbral de bascula a humano, trazabilidad de modificaciones, elección de un proveedor LLM soberano (Mistral) para facturas con datos personales, conservación limitada de los prompts.

Carga EIPD: 3 a 5 jornadas-persona. Véase nuestra guía automatización facturas con IA.

Caso 2 — Triaje inteligente de correos de soporte (riesgo moderado a alto)

Proyecto: clasificación y enrutamiento automático de correos entrantes hacia los equipos adecuados. Datos afectados: direcciones de correo, contenido de los mensajes (potencialmente datos personales, a veces sensibles según el sector). Volumen: 50.000 correos/mes.

Nivel de riesgo EIPD: moderado a alto según el sector (salud, jurídico = alto; e-commerce generalista = moderado).

Medidas clave a documentar: seudonimización de los destinatarios aguas arriba si se hace análisis estadístico, aislamiento de los contenidos sensibles antes del envío a un LLM SaaS, supervisión humana sobre clasificaciones de baja confianza, información a las personas afectadas en la política de privacidad.

Carga EIPD: 5 a 8 jornadas-persona. Véase nuestra guía triaje automático de correos por IA.

Caso 3 — Sistema de scoring de RR. HH. (alto riesgo)

Proyecto: ayuda a la preselección de CVs por IA. Datos afectados: CVs completos, datos de carrera, a veces datos sensibles inferidos (edad, origen probable). Volumen: 10.000 candidaturas/año.

Nivel de riesgo EIPD: alto. Elaboración de perfiles + decisión con efecto significativo sobre la persona + datos potencialmente sensibles + artículo 22 RGPD potencialmente aplicable + riesgo de discriminación indirecta bajo la Ley Orgánica 3/2007 (igualdad efectiva).

Medidas clave a documentar: prohibición de toda decisión automatizada final (humano en el bucle obligatorio), pruebas de sesgo documentadas y repetidas, información previa a los candidatos, derecho de oposición, consulta previa a la AEPD probable si el riesgo residual sigue siendo alto. Información a la representación legal de los trabajadores conforme al Estatuto de los Trabajadores.

Carga EIPD: 12 a 20 jornadas-persona repartidas en 6 a 10 semanas.

Caso particular: EIPD para uso de Mistral / ChatGPT en empresa

El uso generalizado de LLMs SaaS (Mistral Le Chat Enterprise, ChatGPT Enterprise) en empresa plantea cuestiones específicas.

EIPD requerida para:

Uso de IA sobre datos personales a gran escala (>1.000 usuarios o >10.000 personas afectadas/mes)
Uso que incluye datos sensibles (salud, RR. HH. nominativo, jurídico)
Uso con decisiones automatizadas con efecto jurídico

EIPD no obligatoria para:

Uso individual limitado de redacción sobre datos de negocio no sensibles
Uso de síntesis documental sobre documentos no personales

Particularidades a documentar específicamente:

Elección soberana (Mistral vs ChatGPT) — véase nuestra guía IA soberana y nuestra comparativa Mistral vs ChatGPT
Articulación con la política de uso de IA en empresa
Transferencias fuera del EEE (DPF) si proveedor estadounidense
Alucinaciones y medidas de verificación
Conservación de los prompts y completions por el proveedor

Lo que no nos comprometemos a prometer

Tres antipatrones recurrentes que observamos en EIPDs de IA, y que evitamos en DPLIANCE cuando enmarcamos un proyecto de IA a medida.

«Haremos la EIPD más tarde, después de la puesta en producción.» No. Una EIPD es por naturaleza previa al tratamiento (artículo 35 RGPD). Hacerla después es jurídicamente más débil y operativamente contraproducente — los arbitrajes ya están tomados, solo se documenta lo que ya está instalado.

«Vamos a copiar la EIPD del vecino.» Una EIPD no es una plantilla a duplicar. Depende del tratamiento concreto, los datos, el contexto, la elección de arquitectura. Una EIPD genérica se reconoce a diez kilómetros y pierde su valor en una inspección. Mejor una EIPD corta pero propia de su proyecto que una larga copiada.

«La EIPD es asunto del DPD, no del equipo técnico.» Falso. Una EIPD se redacta entre varios: el DPD orquesta, pero el responsable del tratamiento (negocio), el equipo técnico (arquitectura, elección de modelo, seguridad), el servicio jurídico (encargo del tratamiento, transferencias) y el RSSI (medidas de seguridad) contribuyen. Una EIPD escrita en solitario por el DPD sin aportación de los demás interesados siempre carece de sustancia técnica.

DPLIANCE es un editor de software. Cuando diseñamos una solución de IA a medida, producimos la documentación técnica que su DPD puede integrar en su EIPD: arquitectura detallada, elección de modelo, alojamiento, medidas de seguridad, supervisión humana prevista. El DPD sigue siendo dueño de la EIPD; le damos la materia fiable.

FAQ

¿Qué es exactamente una EIPD para un proyecto de IA?

Una EIPD (Evaluación de Impacto en la Protección de Datos) es el análisis escrito y oponible de los riesgos que un tratamiento de datos personales presenta para los derechos y libertades de las personas afectadas. Es un documento de marco compartido entre el DPD y el responsable del tratamiento, validado internamente y oponible en caso de inspección de la AEPD.

¿Cuándo es obligatoria una EIPD para un proyecto de IA?

Para todo tratamiento de IA susceptible de generar un alto riesgo: elaboración de perfiles a gran escala, vigilancia sistemática, datos sensibles a gran escala, decisiones automatizadas con efecto jurídico, evaluación de empleados, cruce de datos, IA sobre menores o poblaciones vulnerables.

¿Cuánto tiempo lleva redactar una EIPD de IA?

2 a 4 jornadas-persona para un proyecto simple. 5 a 15 jornadas-persona repartidas en 3 a 8 semanas para un proyecto de alto riesgo.

EIPD y Reglamento IA: ¿qué se acumula?

La EIPD es una obligación del RGPD. Para los sistemas de IA clasificados como de alto riesgo por el Reglamento IA, se añaden obligaciones adicionales. En la práctica, se redacta una EIPD ampliada única.

¿Debe ser validada la EIPD por la AEPD?

No, salvo casos especiales. Se valida internamente. Solo debe presentarse a la AEPD si subsiste un alto riesgo residual (artículo 36 RGPD).

¿Cómo se articulan EIPD y registro de actividades?

El registro enumera todos los tratamientos. La EIPD profundiza el análisis para los tratamientos de alto riesgo. Ambos documentos se remiten mutuamente.

¿Hay que hacer una nueva EIPD con cada actualización del modelo?

No con cada actualización, sino con cada evolución sustancial: cambio de proveedor, nueva fuente de datos, cambio de caso de uso, cambio de modo de despliegue, fine-tuning, ampliación del perímetro.

¿Cuáles son las trampas clásicas de una EIPD de IA?

Tres trampas. Subestimación de los riesgos específicos de IA. Olvido de las transferencias fuera del EEE. Ausencia de plan de seguimiento.

Fuentes: Reglamento (UE) 2016/679 (RGPD), en particular artículos 35 y 36; Reglamento (UE) 2024/1689 (Reglamento IA), en particular artículos 9-15; AEPD — herramienta «Gestiona EIPD», guías «Adecuación al RGPD de tratamientos que incorporan IA» y «Auditoría de tratamientos que incluyan IA» (aepd.es); AESIA, autoridad de coordinación nacional; CEPD, dictamen 28/2024 sobre los modelos de IA y el RGPD; Garante per la protezione dei dati personali — decisiones OpenAI 2024.

Para enmarcar un proyecto de IA en su organización — elección de arquitectura, modelo soberano o local, integración en el SI, documentación técnica para la EIPD de su DPD — véase nuestra guía IA conforme RGPD, nuestra guía IA soberana, o contáctenos a través de nuestras soluciones de IA a medida.