🌐

Bilingual / Bilingüe

This template includes both English and Spanish versions. Scroll down to find "Versión Española".

Disclaimer: This is guidance only, not legal advice. Consult qualified legal counsel and your DPO before adopting or submitting this DPIA. | Este documento es solo orientativo, no constituye asesoramiento jurídico.

Data Protection Impact Assessment (DPIA) for AI Systems

Document Reference: [ORG-DPIA-AI-___] DPIA Version: [1.0] Status: [ ] Draft | [ ] DPO Review | [ ] Approved | [ ] Approved with Conditions | [ ] Rejected System / Processing Activity Name: Prepared by: Department / Business Owner: DPO Reviewer: Date Initiated: Date DPO Review Completed: Date Approved: Next Scheduled Review: [Date or event trigger]

DPIA At a Glance — Executive Summary

Complete this section after all other sections are finished. Maximum 1 page.

Item	Details
AI System Name
Purpose of AI Processing
Categories of Personal Data Processed
Number / Volume of Data Subjects
EU AI Act Risk Classification	Unacceptable / High / Limited / Minimal
GDPR High-Risk Indicators Present	Yes / No (list below)
Overall DPIA Risk Level	Low / Medium / High / Very High
DPO Recommendation	Proceed / Proceed with conditions / Do not proceed
Supervisory Authority Consultation Required	Yes / No
Approval Decision
Conditions / Required Actions

Part 1: Description of the Processing

1.1 AI System Overview

System name:

Vendor / Provider (if external):

System type: (select all that apply)

EU AI Act Risk Category:

System description: (Describe the AI system, how it works, what it does, and how outputs are used. Include information about the underlying model/algorithm if known.)

What problem does this AI system solve, and what is the expected business benefit?

1.2 Purposes of Processing

List all purposes for which personal data is processed by or through this AI system:

Purpose ID	Purpose Description	Legal Basis (GDPR Art. 6/9)	Applicable to Special Category Data?
P1
P2
P3

Legal bases used (tick all that apply):

1.3 Data Flows

Data sources (where does personal data originate from?):

Source	Data Type	Volume/Frequency	Direct/Indirect

Data flows diagram: (Attach a data flow diagram showing: data source → collection method → AI system inputs → AI processing → outputs → downstream use → storage → deletion. See Annex A for template.)

[ ] Data flow diagram attached

International transfers:

Does personal data flow outside the EU/EEA? [ ] Yes [ ] No [ ] Unknown
If yes, destination country(ies): ___________
Transfer mechanism: [ ] Adequacy decision [ ] Standard Contractual Clauses [ ] BCRs [ ] Other: ___________
Transfer Impact Assessment conducted: [ ] Yes [ ] No [ ] In progress

1.4 Categories of Personal Data

Data Category	Specific Data Types	Special Category (Art. 9)?
Identity data	Names, employee IDs, usernames	No
Contact data	Email, phone, address	No
Behavioural data	Usage patterns, interaction data	No
Location data	IP addresses, geographic location	No
Financial data	Salary, payment data, credit data	No
Health data	Medical records, sick leave	YES
Biometric data	Fingerprints, facial data, voice	YES
Genetic data		YES
Racial/ethnic origin		YES
Political opinions		YES
Religious beliefs		YES
Sexual orientation		YES
Criminal convictions		YES
Other:

Total estimated number of data subjects:

Are any data subjects in vulnerable groups? (children, elderly, employees, patients, etc.)

Yes — specify: ___________
No

1.5 Processing Operations

Describe the specific processing operations performed by the AI system:

Operation	Description	Automated / Human-in-loop
Data collection / ingestion
Data pre-processing / cleaning
Model training (if applicable)
Inference / prediction generation
Output delivery to users
Output storage and logging
Data deletion / anonymisation

Retention periods:

Data Type	Retention Period	Basis	Deletion Method
Training data
AI-generated outputs
System logs
Model parameters

Part 2: Necessity and Proportionality Assessment

2.1 Necessity Assessment

For each purpose identified in Section 1.2, assess whether the AI processing is necessary:

Purpose	Could the purpose be achieved without AI or with less privacy-intrusive means?	Is AI use proportionate to the benefit?	Assessment
P1			[ ] Necessary [ ] Not necessary [ ] Uncertain
P2			[ ] Necessary [ ] Not necessary [ ] Uncertain
P3			[ ] Necessary [ ] Not necessary [ ] Uncertain

2.2 Data Minimisation

Question	Response
Is only the minimum necessary personal data collected?	[ ] Yes [ ] No [ ] Partially
Can any data fields be removed without materially affecting system performance?	[ ] Yes — list fields: ___ [ ] No
Is there a pseudonymisation or anonymisation option that has been evaluated?	[ ] Yes (implemented/rejected — explain) [ ] No
Are test/development environments using anonymised data?	[ ] Yes [ ] No [ ] N/A

Data minimisation issues identified:

2.3 Accuracy and Data Quality

Question	Response	Action Required
Are mechanisms in place to ensure input data accuracy?	[ ] Yes [ ] No
Can data subjects access and correct their data?	[ ] Yes [ ] No
Is the training data representative and free from known biases?	[ ] Yes [ ] No [ ] Assessed below
Are there quality controls on AI outputs?	[ ] Yes [ ] No

Bias and fairness assessment: (Describe any bias assessment conducted on training data and AI outputs. Reference any bias testing methodology used.)

Bias risk level: [ ] Low [ ] Medium [ ] High

2.4 Transparency and Right to Explanation

Question	Response
Are data subjects informed about the AI processing in the privacy notice?	[ ] Yes [ ] No — action required
Do data subjects know when AI is being used to make or support decisions affecting them?	[ ] Yes [ ] No — action required
Where automated decision-making (Art. 22 GDPR) applies, can a human review be requested?	[ ] Yes [ ] No [ ] N/A — Art. 22 not applicable
Can the AI system provide an explanation of its outputs (explainability)?	[ ] Yes [ ] Partially [ ] No
Is the AI system able to demonstrate compliance with Art. 22 safeguards?	[ ] Yes [ ] No [ ] N/A

2.5 Compliance with Data Subject Rights

Assess how the AI system accommodates each right:

Right	How accommodated	Gap / Issue
Right of access (Art. 15)
Right to rectification (Art. 16)
Right to erasure (Art. 17)
Right to restriction (Art. 18)
Right to data portability (Art. 20)
Right to object (Art. 21)
Rights re: automated decision-making (Art. 22)

Rights compliance gap summary:

Part 3: Risk Identification

A DPIA is mandatory where processing is likely to result in high risk. Check all applicable indicators (AEPD guidance and EDPB WP248):

#	High-Risk Indicator	Applies?
1	Automated decision-making with significant legal or similarly significant effects (Art. 22)	[ ] Yes [ ] No
2	Large-scale processing of special category data (Art. 9) or criminal conviction data (Art. 10)	[ ] Yes [ ] No
3	Systematic monitoring of publicly accessible areas	[ ] Yes [ ] No
4	Processing of data of vulnerable data subjects (children, employees, patients)	[ ] Yes [ ] No
5	Innovative use of technology (new AI application, novel use of existing AI)	[ ] Yes [ ] No
6	Use of data in a way data subjects would not reasonably expect (purpose creep)	[ ] Yes [ ] No
7	Denial of service, contract, or benefit based on AI scoring	[ ] Yes [ ] No
8	Large-scale profiling	[ ] Yes [ ] No
9	Combination / matching of datasets that data subjects would not expect	[ ] Yes [ ] No

Number of high-risk indicators present: ___ (EDPB guidance: DPIA generally required where 2 or more criteria apply)

Is this DPIA mandatory? [ ] Yes [ ] No [ ] Precautionary (not legally required but conducted as good practice)

3.2 EU AI Act Risk Indicators

In addition to GDPR risks, assess risks under the EU AI Act:

AI Act Risk Area	Applicable?	Risk Level
Fundamental rights impact	[ ] Yes [ ] No	L / M / H
Safety risks to individuals	[ ] Yes [ ] No	L / M / H
Discrimination or unfair treatment risk	[ ] Yes [ ] No	L / M / H
Lack of human oversight on consequential decisions	[ ] Yes [ ] No	L / M / H
Opacity / lack of explainability	[ ] Yes [ ] No	L / M / H
Data quality and representativeness issues	[ ] Yes [ ] No	L / M / H
Robustness and accuracy risks	[ ] Yes [ ] No	L / M / H
Cybersecurity vulnerabilities	[ ] Yes [ ] No	L / M / H

3.3 Risk Register

Identify specific risks to data subjects arising from this AI processing activity. Use the risk register below:

Risk ID	Risk Description	Source (GDPR/AI Act/Both)
R1	Unauthorised access to personal data processed by AI system	GDPR
R2	AI system produces discriminatory outputs based on protected characteristics	Both
R3	Personal data used to train AI model beyond original purpose	GDPR
R4	Automated decision causes adverse effect on data subject without human review	Both
R5	Data subject unable to exercise their rights (access, erasure, explanation)	GDPR
R6	Inaccurate AI output used in decision affecting data subject’s interests	Both
R7	International transfer of personal data without adequate safeguards	GDPR
R8	Data retention longer than necessary; deletion failure	GDPR
R9	AI system produces false or misleading outputs (hallucinations) affecting data subjects	AI Act
R10	Third-party vendor security incident exposing processed personal data	GDPR
[Add further risks specific to this system]

Risk Score Scale:

Likelihood: 1 = Rare, 2 = Unlikely, 3 = Possible, 4 = Likely, 5 = Almost Certain
Impact: 1 = Negligible, 2 = Minor, 3 = Moderate, 4 = Significant, 5 = Severe
Inherent Risk Score = Likelihood × Impact
High risk threshold: ≥12 | Medium: 6–11 | Low: ≤5

Part 4: Risk Mitigation

4.1 Technical Measures

Measure	Description	Status
Encryption at rest	Personal data encrypted at rest using [standard]	[ ] Implemented [ ] Planned [ ] N/A
Encryption in transit	TLS 1.2+ for all data in transit	[ ] Implemented [ ] Planned [ ] N/A
Access controls	Role-based access control; minimum necessary access	[ ] Implemented [ ] Planned [ ] N/A
Pseudonymisation	Training and/or inference data pseudonymised where possible	[ ] Implemented [ ] Planned [ ] N/A
Anonymisation	AI outputs anonymised before non-essential storage	[ ] Implemented [ ] Planned [ ] N/A
Audit logging	Full audit trail of AI system access and outputs	[ ] Implemented [ ] Planned [ ] N/A
Data minimisation (technical)	Technical controls prevent over-collection	[ ] Implemented [ ] Planned [ ] N/A
Automated deletion	Automated deletion schedule configured per retention policy	[ ] Implemented [ ] Planned [ ] N/A
Human override / override mechanism	Data subjects can trigger human review of AI decisions	[ ] Implemented [ ] Planned [ ] N/A
Output monitoring	AI outputs monitored for accuracy, bias, anomalies	[ ] Implemented [ ] Planned [ ] N/A
Penetration testing	AI system and API security tested	[ ] Implemented [ ] Planned [ ] N/A
Bias testing	Systematic bias/fairness testing conducted pre-deployment and periodically	[ ] Implemented [ ] Planned [ ] N/A

4.2 Organisational Measures

Measure	Description	Status
Data Processing Agreement	DPA signed with AI vendor	[ ] Signed [ ] In negotiation [ ] N/A
Training for system operators	Relevant staff trained on data protection requirements	[ ] Complete [ ] Planned
Privacy notice update	Privacy notice updated to describe AI processing	[ ] Complete [ ] Planned
Data subject rights procedure	Process for handling DSARs related to AI system	[ ] Documented [ ] Planned
Incident response procedure	Specific procedure for AI-related data breaches	[ ] Documented [ ] Planned
Vendor due diligence	Third-party AI vendor assessed for data protection compliance	[ ] Complete [ ] Planned
AI system logging and audit	System activity logged and reviewed regularly	[ ] Implemented [ ] Planned
Human oversight procedure	Defined procedure for human review of AI decisions	[ ] Documented [ ] Planned
Bias and fairness review schedule	Periodic review of AI outputs for discriminatory patterns	[ ] Scheduled [ ] Not yet
Data retention policy	Documented retention schedule enforced	[ ] In place [ ] Needed

4.3 Risk Mitigation Summary

Risk ID	Residual Risk Level	Accepted by DPO?
R1	L / M / H	[ ] Yes [ ] No
R2	L / M / H	[ ] Yes [ ] No
R3	L / M / H	[ ] Yes [ ] No
R4	L / M / H	[ ] Yes [ ] No
R5	L / M / H	[ ] Yes [ ] No
R6	L / M / H	[ ] Yes [ ] No
R7	L / M / H	[ ] Yes [ ] No
R8	L / M / H	[ ] Yes [ ] No
R9	L / M / H	[ ] Yes [ ] No
R10	L / M / H	[ ] Yes [ ] No

Residual risks that cannot be mitigated to acceptable level:

(If any residual risks remain at High, describe here and determine whether supervisory authority consultation is required — see Part 6.)

Part 5: DPO Consultation

5.1 DPO Review Checklist

The DPO must review and sign off on this DPIA before the AI system is deployed. The DPO should assess:

DPO Review Item	DPO Finding	Action Required
Is the DPIA complete and of sufficient quality?
Are all relevant processing activities described?
Is the legal basis appropriate and well-documented?
Are all categories of personal data correctly identified?
Has data minimisation been adequately considered?
Are data subject rights adequately accommodated?
Are identified risks plausible and comprehensive?
Are proposed mitigations sufficient to reduce risks to acceptable level?
Has international transfer risk been adequately assessed?
Is supervisory authority consultation required (see Part 6)?
Does the AI system comply with Art. 22 where applicable?
Have any gaps in vendor DPAs been identified?

5.2 DPO Opinion

DPO Recommendation: (Select one)

Proceed — The DPIA identifies no residual high risks; the processing can proceed as described.
Proceed with conditions — The DPIA identifies residual risks that are acceptable subject to the conditions listed below.
Do not proceed pending prior consultation — Residual risks remain high; prior consultation with AEPD is required before processing begins.
Do not proceed — The processing is disproportionate, unlawful, or poses unacceptable risks to data subjects.

Conditions / Required actions (if applicable):

DPO name: DPO signature/approval date: Next DPIA review date (as recommended by DPO):

5.3 Business Owner Response to DPO Opinion

(Complete if DPO recommended conditions or do not proceed)

Do you accept the DPO’s conditions? [ ] Yes — with implementation plan below [ ] No — requesting escalation to [CEO/Board]

Implementation plan for DPO conditions:

Condition	Action	Owner	Due Date	Completed

Escalation (if DPO recommendation not followed):

If the controller (organisation) decides to proceed against the DPO’s advice, GDPR Art. 35(8) requires the controller to document this decision. The DPO’s written opinion must be recorded, and the supervisory authority may be informed.

Documented decision to proceed against DPO advice (if applicable):

Authorised by: [Name, Title, Date]

Part 6: Supervisory Authority Consultation Triggers

6.1 When is Prior Consultation Required?

Under GDPR Art. 36, the controller must consult the supervisory authority (in Spain: AEPD) before processing where a DPIA indicates that processing would result in high residual risk and the controller cannot mitigate that risk with reasonable measures.

Additionally, the AEPD has published a list of processing types that always require prior consultation in Spain. Check whether the proposed AI processing appears on the AEPD’s current list.

6.2 Prior Consultation Trigger Assessment

Trigger	Applies?	Evidence / Notes
DPIA identifies high residual risk that cannot be mitigated	[ ] Yes [ ] No
Processing appears on AEPD’s mandatory prior consultation list	[ ] Yes [ ] No
AI system is a High-risk system under EU AI Act with significant GDPR implications	[ ] Yes [ ] No
AI system involves large-scale profiling or automated decision-making with legal effects	[ ] Yes [ ] No
AI system processes special category data at scale	[ ] Yes [ ] No
Novel technology use where uncertainty about risks remains after DPIA	[ ] Yes [ ] No

Is prior consultation with AEPD required? [ ] YES — see Section 6.3 [ ] NO — document rationale below

Rationale for not consulting (if applicable):

6.3 Prior Consultation Process (if required)

If prior consultation is triggered, the following steps apply:

Step	Action	Responsible	Timeline
1	Compile consultation package (DPIA + processing description + contact details of DPO)	DPO	Before processing begins
2	Submit to AEPD via formal consultation channel	DPO + Legal	Before processing begins
3	Wait for AEPD response	DPO	AEPD has 8 weeks to respond (extendable by 6 weeks for complex cases)
4	Implement any AEPD recommendations	System Owner + AI Officer	Per AEPD guidance
5	Document outcome and update DPIA	DPO	After AEPD response
Do not begin processing until AEPD consultation period has elapsed or AEPD has responded

AEPD contact for prior consultation: [https://www.aepd.es/] — Consulta Previa / Prior Consultation

6.4 EU AI Act Notification Obligations

For High-risk AI systems under the EU AI Act, additional notification/registration obligations may apply to providers and deployers. Check with Legal and AI Officer whether:

Obligation	Applies?	Status
Registration in EU AI Act database (providers of high-risk AI systems)	[ ] Yes [ ] No
Notification to national supervisory authority (AESIA in Spain) of high-risk deployment	[ ] Yes [ ] No
Notified body conformity assessment (for specific high-risk categories)	[ ] Yes [ ] No
EU AI Act post-market monitoring plan	[ ] Yes [ ] No

Part 7: Ongoing Review and Monitoring

7.1 DPIA Review Triggers

This DPIA must be reviewed:

Trigger	Review Required?	Responsible
Annual scheduled review	Yes	DPO + System Owner
Material change to AI system functionality	Yes	DPO + System Owner
Change in categories of personal data processed	Yes	DPO
Change in purpose of processing	Yes	DPO
Change in AI vendor or sub-processor	Yes	DPO
Significant AI-related incident or near-miss	Yes	DPO + AI Officer
Material change in applicable law or regulatory guidance	Yes	DPO + Legal
Evidence of bias or discriminatory outcomes	Yes	DPO + AI Officer
Change in scale (significant increase in data subjects)	Yes	DPO

7.2 Post-Deployment Monitoring Plan

Monitoring Activity	Frequency	Responsible	KPIs / Thresholds
AI output accuracy review	Monthly	System Owner	Target: [X]% accuracy; alert if <[Y]%
Bias and fairness check	Quarterly	AI Officer + System Owner	Zero material bias findings
Data subject rights request handling	Per request + monthly aggregate	DPO	100% responded within 30 days
Security and access log review	Monthly	CISO	Zero unauthorised access events
Data retention compliance check	Quarterly	System Owner	100% data deleted per schedule
Vendor compliance check	Annually	DPO + Legal	Valid DPA; valid certifications

Annex A — Data Flow Diagram Template

Use this template or attach a completed diagram.

[Data Source] ──→ [Collection Method] ──→ [AI System Input]
                                               │
                                         [AI Processing]
                                               │
                                          [AI Output]
                                           /        \
                              [Downstream Use]    [Storage]
                                                      │
                                               [Deletion / Anonymisation]

Label each arrow with: data type, transfer mechanism, encryption status, and legal basis.

Annex B — Version Control

Version	Date	Author	Change Description	Approved By
1.0			Initial DPIA

Annex C — Supporting Documents

Document	Version	Location	Attached?
Legitimate Interests Assessment (if Art. 6(1)(f) used)			[ ] Yes [ ] N/A
Transfer Impact Assessment (if international transfer)			[ ] Yes [ ] N/A
Data Processing Agreement with vendor			[ ] Yes [ ] N/A
Vendor security assessment			[ ] Yes [ ] N/A
Bias testing report			[ ] Yes [ ] N/A
EU AI Act technical documentation (if high-risk)			[ ] Yes [ ] N/A
Privacy notice (showing AI disclosure)			[ ] Yes [ ] N/A

Template provided by VORLUX AI | vorluxai.com This is guidance only, not legal advice. Version 1.0 | For GDPR Art. 35 + EU AI Act compliance use | Last updated: 2026-04-05

Versión Española

Aviso legal: Este documento es solo orientativo, no constituye asesoramiento jurídico. Consulte a un abogado cualificado y a su DPO antes de adoptar o presentar esta EIPD.

Evaluación de Impacto en la Protección de Datos (EIPD) para Sistemas de IA

Referencia del documento: [ORG-DPIA-AI-___] Versión de la EIPD: [1.0] Estado: [ ] Borrador | [ ] Revisión DPO | [ ] Aprobada | [ ] Aprobada con condiciones | [ ] Rechazada Nombre del sistema / actividad de tratamiento: Elaborado por: Departamento / Responsable: DPO revisor: Fecha de inicio: Fecha de revisión DPO: Fecha de aprobación: Próxima revisión programada: [Fecha o evento desencadenante]

Resumen Ejecutivo de la EIPD

Complete esta sección tras finalizar todas las demás. Máximo 1 página.

Elemento	Detalles
Nombre del sistema de IA
Finalidad del tratamiento con IA
Categorías de datos personales tratados
Número / volumen de interesados
Clasificación de riesgo (EU AI Act)	Inaceptable / Alto / Limitado / Mínimo
Indicadores de alto riesgo GDPR presentes	Sí / No (detallar)
Nivel de riesgo global de la EIPD	Bajo / Medio / Alto / Muy alto
Recomendación del DPO	Proceder / Proceder con condiciones / No proceder
Consulta previa a la autoridad de control requerida	Sí / No
Decisión de aprobación
Condiciones / acciones requeridas

Parte 1: Descripción del Tratamiento

1.1 Visión general del sistema de IA

Nombre del sistema:

Proveedor (si es externo):

Tipo de sistema: (seleccione todos los aplicables)

Categoría de riesgo (EU AI Act):

Descripción del sistema: (Describa el sistema de IA, cómo funciona, qué hace y cómo se utilizan los resultados. Incluya información sobre el modelo/algoritmo subyacente si se conoce.)

¿Qué problema resuelve este sistema de IA y cuál es el beneficio empresarial esperado?

1.2 Finalidades del tratamiento

ID	Descripción de la finalidad	Base jurídica (GDPR Art. 6/9)	¿Datos de categoría especial?
P1
P2
P3

Bases jurídicas utilizadas:

1.3 Flujos de datos

Orígenes de los datos:

Origen	Tipo de datos	Volumen / frecuencia	Directo / Indirecto

Diagrama de flujo de datos: (Adjunte un diagrama: origen → método de recogida → entrada al sistema IA → procesamiento → resultados → uso posterior → almacenamiento → eliminación. Ver Anexo A.)

[ ] Diagrama de flujo adjunto

Transferencias internacionales:

¿Salen datos personales fuera del EEE? [ ] Sí [ ] No [ ] Desconocido
Si sí, país(es) de destino: ___________
Mecanismo de transferencia: [ ] Decisión de adecuación [ ] Cláusulas Contractuales Tipo [ ] BCRs [ ] Otro: ___________
Evaluación de impacto de transferencia realizada: [ ] Sí [ ] No [ ] En curso

1.4 Categorías de datos personales

Categoría	Tipos de datos específicos	¿Categoría especial (Art. 9)?
Datos de identidad	Nombres, IDs de empleado, nombres de usuario	No
Datos de contacto	Correo electrónico, teléfono, dirección	No
Datos de comportamiento	Patrones de uso, datos de interacción	No
Datos de localización	Direcciones IP, ubicación geográfica	No
Datos financieros	Salario, datos de pago, datos crediticios	No
Datos de salud	Historiales médicos, bajas médicas	SÍ
Datos biométricos	Huellas dactilares, datos faciales, voz	SÍ
Datos genéticos		SÍ
Origen racial/étnico		SÍ
Opiniones políticas		SÍ
Creencias religiosas		SÍ
Orientación sexual		SÍ
Condenas penales		SÍ
Otro:

Número total estimado de interesados:

¿Hay interesados en grupos vulnerables? (menores, personas mayores, empleados, pacientes, etc.)

Sí — especificar: ___________
No

1.5 Operaciones de tratamiento

Operación	Descripción	Automatizado / Intervención humana
Recogida / ingesta de datos
Preprocesamiento / limpieza de datos
Entrenamiento del modelo (si aplica)
Inferencia / generación de predicciones
Entrega de resultados a usuarios
Almacenamiento y registro de resultados
Eliminación / anonimización de datos

Plazos de conservación:

Tipo de dato	Plazo de conservación	Fundamento	Método de eliminación
Datos de entrenamiento
Resultados generados por IA
Registros del sistema
Parámetros del modelo

Parte 2: Evaluación de Necesidad y Proporcionalidad

2.1 Evaluación de necesidad

Finalidad	¿Podría lograrse sin IA o con medios menos intrusivos?	¿El uso de IA es proporcionado al beneficio?	Evaluación
P1			[ ] Necesario [ ] No necesario [ ] Incierto
P2			[ ] Necesario [ ] No necesario [ ] Incierto
P3			[ ] Necesario [ ] No necesario [ ] Incierto

2.2 Minimización de datos

Pregunta	Respuesta
¿Se recogen solo los datos mínimos necesarios?	[ ] Sí [ ] No [ ] Parcialmente
¿Podrían eliminarse campos sin afectar materialmente al rendimiento?	[ ] Sí — indicar campos: ___ [ ] No
¿Se ha evaluado la seudonimización o anonimización?	[ ] Sí (implementada/descartada — explicar) [ ] No
¿Los entornos de prueba usan datos anonimizados?	[ ] Sí [ ] No [ ] N/A

Problemas de minimización identificados:

2.3 Exactitud y calidad de los datos

Pregunta	Respuesta	Acción requerida
¿Existen mecanismos para asegurar la exactitud de los datos de entrada?	[ ] Sí [ ] No
¿Pueden los interesados acceder y corregir sus datos?	[ ] Sí [ ] No
¿Son los datos de entrenamiento representativos y libres de sesgos conocidos?	[ ] Sí [ ] No [ ] Evaluado abajo
¿Existen controles de calidad sobre los resultados de IA?	[ ] Sí [ ] No

Evaluación de sesgo y equidad: (Describa las evaluaciones de sesgo realizadas sobre datos de entrenamiento y resultados de IA.)

Nivel de riesgo de sesgo: [ ] Bajo [ ] Medio [ ] Alto

2.4 Transparencia y derecho a la explicación

Pregunta	Respuesta
¿Se informa a los interesados sobre el tratamiento con IA en el aviso de privacidad?	[ ] Sí [ ] No — acción requerida
¿Saben los interesados cuándo se usa IA para tomar o apoyar decisiones que les afectan?	[ ] Sí [ ] No — acción requerida
Cuando aplica la toma de decisiones automatizada (Art. 22 GDPR), ¿puede solicitarse revisión humana?	[ ] Sí [ ] No [ ] N/A — Art. 22 no aplicable
¿Puede el sistema de IA proporcionar una explicación de sus resultados (explicabilidad)?	[ ] Sí [ ] Parcialmente [ ] No
¿Puede el sistema demostrar cumplimiento con las garantías del Art. 22?	[ ] Sí [ ] No [ ] N/A

2.5 Cumplimiento de los derechos de los interesados

Derecho	Cómo se garantiza	Deficiencia / problema
Derecho de acceso (Art. 15)
Derecho de rectificación (Art. 16)
Derecho de supresión (Art. 17)
Derecho a la limitación del tratamiento (Art. 18)
Derecho a la portabilidad (Art. 20)
Derecho de oposición (Art. 21)
Derechos relativos a decisiones automatizadas (Art. 22)

Resumen de deficiencias en el cumplimiento de derechos:

Parte 3: Identificación de Riesgos

La EIPD es obligatoria cuando el tratamiento pueda entrañar un alto riesgo. Marque los indicadores aplicables (guía AEPD y EDPB WP248):

#	Indicador de alto riesgo	¿Aplica?
1	Toma de decisiones automatizada con efectos jurídicos significativos o similares (Art. 22)	[ ] Sí [ ] No
2	Tratamiento a gran escala de datos de categoría especial (Art. 9) o de condenas penales (Art. 10)	[ ] Sí [ ] No
3	Vigilancia sistemática de zonas de acceso público	[ ] Sí [ ] No
4	Tratamiento de datos de interesados vulnerables (menores, empleados, pacientes)	[ ] Sí [ ] No
5	Uso innovador de tecnología (nueva aplicación de IA, uso novedoso de IA existente)	[ ] Sí [ ] No
6	Uso de datos de forma inesperada para los interesados (desviación de finalidad)	[ ] Sí [ ] No
7	Denegación de servicio, contrato o prestación basada en puntuación de IA	[ ] Sí [ ] No
8	Perfilado a gran escala	[ ] Sí [ ] No
9	Combinación / cruce de conjuntos de datos no esperado por los interesados	[ ] Sí [ ] No

Número de indicadores de alto riesgo presentes: ___ (Guía EDPB: la EIPD es generalmente obligatoria cuando aplican 2 o más criterios)

¿Es esta EIPD obligatoria? [ ] Sí [ ] No [ ] Precautoria (no legalmente requerida pero realizada como buena práctica)

3.2 Indicadores de riesgo del EU AI Act

Área de riesgo (AI Act)	¿Aplica?	Nivel de riesgo
Impacto en derechos fundamentales	[ ] Sí [ ] No	B / M / A
Riesgos de seguridad para las personas	[ ] Sí [ ] No	B / M / A
Riesgo de discriminación o trato injusto	[ ] Sí [ ] No	B / M / A
Falta de supervisión humana en decisiones de consecuencia	[ ] Sí [ ] No	B / M / A
Opacidad / falta de explicabilidad	[ ] Sí [ ] No	B / M / A
Problemas de calidad y representatividad de datos	[ ] Sí [ ] No	B / M / A
Riesgos de robustez y exactitud	[ ] Sí [ ] No	B / M / A
Vulnerabilidades de ciberseguridad	[ ] Sí [ ] No	B / M / A

3.3 Registro de riesgos

ID	Descripción del riesgo	Origen (GDPR/AI Act/Ambos)
R1	Acceso no autorizado a datos personales tratados por el sistema de IA	GDPR
R2	El sistema de IA produce resultados discriminatorios basados en características protegidas	Ambos
R3	Datos personales utilizados para entrenar el modelo más allá de la finalidad original	GDPR
R4	Decisión automatizada causa efecto adverso al interesado sin revisión humana	Ambos
R5	El interesado no puede ejercer sus derechos (acceso, supresión, explicación)	GDPR
R6	Resultado inexacto de IA utilizado en decisión que afecta intereses del interesado	Ambos
R7	Transferencia internacional de datos personales sin garantías adecuadas	GDPR
R8	Conservación de datos más allá de lo necesario; fallo en la eliminación	GDPR
R9	El sistema de IA produce resultados falsos o engañosos (alucinaciones) que afectan a interesados	AI Act
R10	Incidente de seguridad del proveedor que expone datos personales tratados	GDPR
[Añada riesgos adicionales específicos de este sistema]

Escala de puntuación de riesgos:

Probabilidad: 1 = Rara, 2 = Improbable, 3 = Posible, 4 = Probable, 5 = Casi segura
Impacto: 1 = Insignificante, 2 = Menor, 3 = Moderado, 4 = Significativo, 5 = Grave
Riesgo inherente = Probabilidad x Impacto
Umbral de alto riesgo: ≥12 | Medio: 6–11 | Bajo: ≤5

Parte 4: Mitigación de Riesgos

4.1 Medidas técnicas

Medida	Descripción	Estado
Cifrado en reposo	Datos personales cifrados en reposo con [estándar]	[ ] Implementado [ ] Planificado [ ] N/A
Cifrado en tránsito	TLS 1.2+ para todos los datos en tránsito	[ ] Implementado [ ] Planificado [ ] N/A
Controles de acceso	Control de acceso basado en roles; acceso mínimo necesario	[ ] Implementado [ ] Planificado [ ] N/A
Seudonimización	Datos de entrenamiento/inferencia seudonimizados donde sea posible	[ ] Implementado [ ] Planificado [ ] N/A
Anonimización	Resultados de IA anonimizados antes de almacenamiento no esencial	[ ] Implementado [ ] Planificado [ ] N/A
Registro de auditoría	Trazabilidad completa de accesos y resultados del sistema de IA	[ ] Implementado [ ] Planificado [ ] N/A
Minimización de datos (técnica)	Controles técnicos que impiden la recogida excesiva	[ ] Implementado [ ] Planificado [ ] N/A
Eliminación automatizada	Programación de eliminación automatizada según política de conservación	[ ] Implementado [ ] Planificado [ ] N/A
Mecanismo de anulación humana	Los interesados pueden solicitar revisión humana de decisiones de IA	[ ] Implementado [ ] Planificado [ ] N/A
Monitorización de resultados	Resultados de IA monitorizados en cuanto a exactitud, sesgo y anomalías	[ ] Implementado [ ] Planificado [ ] N/A
Pruebas de penetración	Sistema de IA y seguridad de API probados	[ ] Implementado [ ] Planificado [ ] N/A
Pruebas de sesgo	Pruebas sistemáticas de sesgo/equidad previas al despliegue y periódicas	[ ] Implementado [ ] Planificado [ ] N/A

4.2 Medidas organizativas

Medida	Descripción	Estado
Acuerdo de tratamiento de datos	DPA firmado con proveedor de IA	[ ] Firmado [ ] En negociación [ ] N/A
Formación para operadores del sistema	Personal relevante formado en requisitos de protección de datos	[ ] Completada [ ] Planificada
Actualización del aviso de privacidad	Aviso de privacidad actualizado para describir tratamiento con IA	[ ] Completada [ ] Planificada
Procedimiento de derechos de interesados	Proceso para gestionar solicitudes de derechos relacionadas con el sistema de IA	[ ] Documentado [ ] Planificado
Procedimiento de respuesta a incidentes	Procedimiento específico para brechas de datos relacionadas con IA	[ ] Documentado [ ] Planificado
Diligencia debida del proveedor	Evaluación del proveedor de IA en materia de protección de datos	[ ] Completada [ ] Planificada
Registro y auditoría del sistema de IA	Actividad del sistema registrada y revisada periódicamente	[ ] Implementado [ ] Planificado
Procedimiento de supervisión humana	Procedimiento definido para revisión humana de decisiones de IA	[ ] Documentado [ ] Planificado
Calendario de revisión de sesgo y equidad	Revisión periódica de resultados de IA buscando patrones discriminatorios	[ ] Programado [ ] Pendiente
Política de conservación de datos	Calendario de conservación documentado y aplicado	[ ] Vigente [ ] Necesario

4.3 Resumen de mitigación de riesgos

ID	Nivel residual	¿Aceptado por DPO?
R1	B / M / A	[ ] Sí [ ] No
R2	B / M / A	[ ] Sí [ ] No
R3	B / M / A	[ ] Sí [ ] No
R4	B / M / A	[ ] Sí [ ] No
R5	B / M / A	[ ] Sí [ ] No
R6	B / M / A	[ ] Sí [ ] No
R7	B / M / A	[ ] Sí [ ] No
R8	B / M / A	[ ] Sí [ ] No
R9	B / M / A	[ ] Sí [ ] No
R10	B / M / A	[ ] Sí [ ] No

Riesgos residuales que no pueden mitigarse a un nivel aceptable:

(Si algún riesgo residual permanece en nivel Alto, descríbalo aquí y determine si es necesaria la consulta previa a la autoridad de control — véase Parte 6.)

Parte 5: Consulta al DPO

5.1 Lista de verificación de revisión del DPO

El DPO debe revisar y aprobar esta EIPD antes del despliegue del sistema de IA:

Elemento de revisión del DPO	Resultado del DPO	Acción requerida
¿La EIPD está completa y tiene calidad suficiente?
¿Se describen todas las actividades de tratamiento relevantes?
¿La base jurídica es apropiada y está bien documentada?
¿Se identifican correctamente todas las categorías de datos personales?
¿Se ha considerado adecuadamente la minimización de datos?
¿Se garantizan adecuadamente los derechos de los interesados?
¿Son los riesgos identificados plausibles y exhaustivos?
¿Son las mitigaciones propuestas suficientes para reducir riesgos a un nivel aceptable?
¿Se ha evaluado adecuadamente el riesgo de transferencia internacional?
¿Es necesaria la consulta previa a la autoridad de control (véase Parte 6)?
¿Cumple el sistema de IA con el Art. 22 cuando sea aplicable?
¿Se han identificado deficiencias en DPAs con proveedores?

5.2 Dictamen del DPO

Recomendación del DPO: (Seleccione una)

Proceder — La EIPD no identifica riesgos residuales altos; el tratamiento puede proceder tal como se describe.
Proceder con condiciones — La EIPD identifica riesgos residuales aceptables sujetos a las condiciones indicadas.
No proceder sin consulta previa — Los riesgos residuales permanecen altos; se requiere consulta previa a la AEPD antes de iniciar el tratamiento.
No proceder — El tratamiento es desproporcionado, ilícito o supone riesgos inaceptables para los interesados.

Condiciones / acciones requeridas (si aplica):

Nombre del DPO: Firma/fecha de aprobación del DPO: Próxima fecha de revisión de la EIPD (recomendada por el DPO):

5.3 Respuesta del responsable del negocio al dictamen del DPO

(Completar si el DPO recomendó condiciones o no proceder)

¿Acepta las condiciones del DPO? [ ] Sí — con plan de implementación abajo [ ] No — solicita escalado a [CEO/Consejo]

Plan de implementación de las condiciones del DPO:

Condición	Acción	Responsable	Fecha límite	Completado

Escalado (si no se sigue la recomendación del DPO):

Si el responsable del tratamiento decide proceder en contra del consejo del DPO, el GDPR Art. 35(8) exige documentar esta decisión. El dictamen escrito del DPO debe constar y la autoridad de control puede ser informada.

Decisión documentada de proceder en contra del consejo del DPO (si aplica):

Autorizado por: [Nombre, Cargo, Fecha]

Parte 6: Umbrales de Consulta a la Autoridad de Control

6.1 ¿Cuándo es obligatoria la consulta previa?

Conforme al GDPR Art. 36, el responsable debe consultar a la autoridad de control (en España: AEPD) antes del tratamiento cuando una EIPD indique que el tratamiento entrañaría un riesgo residual alto y el responsable no pueda mitigar ese riesgo con medidas razonables.

La AEPD ha publicado una lista de tipos de tratamiento que siempre requieren consulta previa en España. Verifique si el tratamiento de IA propuesto figura en la lista vigente de la AEPD.

6.2 Evaluación de los desencadenantes de consulta previa

Desencadenante	¿Aplica?	Evidencia / Notas
La EIPD identifica riesgo residual alto que no puede mitigarse	[ ] Sí [ ] No
El tratamiento figura en la lista obligatoria de consulta previa de la AEPD	[ ] Sí [ ] No
El sistema de IA es de alto riesgo bajo el EU AI Act con implicaciones GDPR significativas	[ ] Sí [ ] No
El sistema implica perfilado a gran escala o toma de decisiones automatizada con efectos jurídicos	[ ] Sí [ ] No
El sistema trata datos de categoría especial a gran escala	[ ] Sí [ ] No
Uso de tecnología novedosa donde persiste incertidumbre sobre riesgos tras la EIPD	[ ] Sí [ ] No

¿Es necesaria la consulta previa a la AEPD? [ ] SÍ — véase Sección 6.3 [ ] NO — documentar justificación

Justificación para no consultar (si aplica):

6.3 Proceso de consulta previa (si es necesario)

Paso	Acción	Responsable	Plazo
1	Compilar paquete de consulta (EIPD + descripción del tratamiento + datos de contacto del DPO)	DPO	Antes de iniciar el tratamiento
2	Presentar a la AEPD por el canal formal de consulta	DPO + Legal	Antes de iniciar el tratamiento
3	Esperar respuesta de la AEPD	DPO	La AEPD tiene 8 semanas para responder (ampliable 6 semanas en casos complejos)
4	Implementar las recomendaciones de la AEPD	Responsable del sistema + Responsable de IA	Según indicaciones de la AEPD
5	Documentar resultado y actualizar la EIPD	DPO	Tras respuesta de la AEPD
No iniciar el tratamiento hasta que el plazo de consulta haya transcurrido o la AEPD haya respondido

Contacto de la AEPD para consulta previa: [https://www.aepd.es/] — Consulta Previa

6.4 Obligaciones de notificación del EU AI Act

Para sistemas de IA de alto riesgo bajo el EU AI Act, pueden aplicar obligaciones adicionales de notificación/registro para proveedores y responsables del despliegue. Verifique con Legal y el Responsable de IA si aplica:

Obligación	¿Aplica?	Estado
Registro en la base de datos del EU AI Act (proveedores de sistemas de IA de alto riesgo)	[ ] Sí [ ] No
Notificación a la autoridad nacional de supervisión (AESIA en España) del despliegue de alto riesgo	[ ] Sí [ ] No
Evaluación de conformidad por organismo notificado (para categorías de alto riesgo específicas)	[ ] Sí [ ] No
Plan de vigilancia post-comercialización del EU AI Act	[ ] Sí [ ] No

Parte 7: Revisión y Monitorización Continua

7.1 Desencadenantes de revisión de la EIPD

Desencadenante	¿Revisión necesaria?	Responsable
Revisión anual programada	Sí	DPO + Responsable del sistema
Cambio material en la funcionalidad del sistema de IA	Sí	DPO + Responsable del sistema
Cambio en las categorías de datos personales tratados	Sí	DPO
Cambio en la finalidad del tratamiento	Sí	DPO
Cambio de proveedor de IA o subencargado	Sí	DPO
Incidente significativo relacionado con IA o cuasi-incidente	Sí	DPO + Responsable de IA
Cambio material en la legislación aplicable u orientaciones regulatorias	Sí	DPO + Legal
Evidencia de sesgo o resultados discriminatorios	Sí	DPO + Responsable de IA
Cambio de escala (aumento significativo de interesados)	Sí	DPO

7.2 Plan de monitorización post-despliegue

Actividad de monitorización	Frecuencia	Responsable	KPIs / Umbrales
Revisión de exactitud de resultados de IA	Mensual	Responsable del sistema	Objetivo: [X]% exactitud; alerta si <[Y]%
Verificación de sesgo y equidad	Trimestral	Responsable de IA + Responsable del sistema	Cero hallazgos materiales de sesgo
Gestión de solicitudes de derechos de interesados	Por solicitud + agregado mensual	DPO	100% respondidas en 30 días
Revisión de registros de seguridad y acceso	Mensual	CISO	Cero eventos de acceso no autorizado
Verificación de cumplimiento de conservación de datos	Trimestral	Responsable del sistema	100% datos eliminados según calendario
Verificación de cumplimiento del proveedor	Anual	DPO + Legal	DPA vigente; certificaciones válidas

Anexo A — Plantilla de diagrama de flujo de datos

Utilice esta plantilla o adjunte un diagrama completo.

[Origen de datos] ──→ [Método de recogida] ──→ [Entrada al sistema IA]
                                                       │
                                                 [Tratamiento IA]
                                                       │
                                                  [Resultado IA]
                                                   /          \
                                    [Uso posterior]        [Almacenamiento]
                                                                │
                                                   [Eliminación / Anonimización]

Etiquete cada flecha con: tipo de dato, mecanismo de transferencia, estado de cifrado y base jurídica.

Anexo B — Control de versiones

Versión	Fecha	Autor	Descripción del cambio	Aprobado por
1.0			EIPD inicial

Anexo C — Documentos de apoyo

Documento	Versión	Ubicación	¿Adjunto?
Evaluación de intereses legítimos (si Art. 6(1)(f) utilizado)			[ ] Sí [ ] N/A
Evaluación de impacto de transferencia (si transferencia internacional)			[ ] Sí [ ] N/A
Acuerdo de tratamiento de datos con proveedor			[ ] Sí [ ] N/A
Evaluación de seguridad del proveedor			[ ] Sí [ ] N/A
Informe de pruebas de sesgo			[ ] Sí [ ] N/A
Documentación técnica del EU AI Act (si alto riesgo)			[ ] Sí [ ] N/A
Aviso de privacidad (con mención de IA)			[ ] Sí [ ] N/A

Plantilla proporcionada por VORLUX AI | vorluxai.com Este documento es solo orientativo, no constituye asesoramiento jurídico. Versión 1.0 | Para cumplimiento de GDPR Art. 35 + EU AI Act | Última actualización: 2026-04-05