¿Necesito una EIPD? Resuélvelo en 8 preguntas (Art. 15 ter)
La Ley 21.719 obliga a hacer una Evaluación de Impacto (EIPD) cuando el tratamiento es de alto riesgo (Art. 15 ter). Así DPOLab automatiza el screening, el catálogo de riesgos y la aprobación, para que sepas si te toca en minutos.
Hay una pregunta que frena muchos proyectos de cumplimiento: ¿este tratamiento necesita una Evaluación de Impacto? La Ley 21.719 obliga a realizar una EIPD cuando un tratamiento es susceptible de generar un alto riesgo para los derechos de los titulares —datos sensibles a gran escala, decisiones automatizadas con efectos relevantes, observación sistemática, datos de niños, niñas y adolescentes—. El Art. 15 ter lo establece, junto con la consulta previa a la Agencia cuando el riesgo persiste pese a las medidas.
El problema es que interpretar esos criterios toma tiempo y criterio experto, y por eso muchas pymes simplemente lo saltan. Después, si la EIPD faltaba y debía existir, el incumplimiento es de los que la APDP clasifica con gravedad.
”¿Me toca o no?” debería tomar minutos, no horas
La EIPD no es obligatoria para todo tratamiento: lo es para los de alto riesgo. Pero decidir en cuál de los dos grupos cae cada actividad es justamente lo que la mayoría no sabe hacer con seguridad. Resolverlo a mano implica leer el Art. 15 ter, contrastar criterios y documentar la decisión —incluida la de no hacerla, que también conviene dejar registrada—.
DPOLab convierte ese análisis en un cuestionario corto.
1 — Screening en 8 preguntas
Respondes ocho preguntas sobre el tratamiento —tipo de datos, escala, perfilamiento, titulares— y en pocos minutos DPOLab dice si la EIPD es necesaria o no, y explica por qué. La decisión queda documentada, de modo que si un fiscalizador pregunta por qué un tratamiento no tiene EIPD, tienes la respuesta fechada.
2 — Catálogo de riesgos pre-poblado
Si la evaluación procede, el siguiente freno es la hoja en blanco. DPOLab trae una biblioteca de riesgos curada a partir de marcos de gestión de riesgo reconocidos: seleccionas los aplicables y agregas los específicos de tu caso, en vez de inventar la lista desde cero. La evaluación parte poblada y se refina.
3 — Sugerencias de IA para riesgos y mitigaciones
Para un tratamiento concreto, el asistente sugiere riesgos con su probabilidad e impacto inicial y medidas de mitigación estándar, a partir de un catálogo curado. No reemplaza el criterio del DPO: le ahorra la primera redacción para que se concentre en validar y ajustar.
4 — Aprobación por workflow y export auditable
Ninguna EIPD se da por buena sin pasar por la firma del DPO. La aprobación va por un workflow configurable —puedes sumar cumplimiento legal o gerencia según el riesgo— y el resultado se exporta en PDF con la descripción, la necesidad, los riesgos y la conclusión. Es el documento que respalda la decisión ante la Agencia.
Lo que ganas
Automatizar la EIPD no es saltarse el análisis: es hacerlo bien y rápido. Pasas de la duda paralizante a un proceso que:
- Resuelve el “¿me toca?” en minutos, con la decisión documentada.
- Parte de un catálogo de riesgos en vez de la hoja en blanco.
- Acelera la redacción con sugerencias, sin reemplazar el criterio del DPO.
- Cierra con aprobación firmada y un informe exportable.
Es la diferencia entre intuir que cumples el Art. 15 ter y poder demostrarlo.
Si tienes un tratamiento que te genera dudas, agenda un diagnóstico o pide una prueba. Y si prefieres acompañamiento para conducir las primeras evaluaciones, el equipo de Codevsys ofrece la implementación guiada.