← Volver al blog Cumplimiento

EIPD: qué es y cuándo es obligatoria la Evaluación de Impacto en Protección de Datos.

Para los tratamientos de alto riesgo, la evaluación de impacto deja de ser opcional. Acá qué es una EIPD, cuándo se gatilla, qué debe contener y cómo hacerla — sin que se convierta en un trámite eterno.

Publicado jun 2026 · Actualizado 2026 · 8 min de lectura
EIPD · Ley 21.719

Lo esencial en 30 segundos

  • La EIPD (o DPIA) es un análisis previo de los riesgos de un tratamiento para las personas.
  • Es obligatoria para tratamientos de alto riesgo: datos sensibles a gran escala, perfilamiento, monitoreo sistemático, decisiones automatizadas, nuevas tecnologías.
  • Se hace antes de iniciar el tratamiento, no después.
  • Debe documentarse y revisarse cuando el tratamiento cambia.
  • Es parte de la responsabilidad proactiva y se apoya en tu RAT.

No todos los tratamientos requieren una evaluación de impacto — pero los que sí, la requieren antes de empezar, y omitirla es una brecha que pesa en una fiscalización. La buena noticia: bien enfocada, una EIPD es una herramienta de decisión, no un trámite. Si todavía no tienes claro el panorama general, parte por la guía definitiva de la Ley 21.719.

Qué es una EIPD

La Evaluación de Impacto en Protección de Datos —EIPD, o DPIA por sus siglas en inglés (Data Protection Impact Assessment)— es un análisis previo que sirve para anticipar y mitigar los riesgos que un tratamiento puede generar para los derechos de las personas. En vez de descubrir el problema cuando ya ocurrió, la EIPD obliga a pensarlo antes: ¿qué puede salir mal para los titulares y cómo lo evitamos?

¿Cuándo es obligatoria?

La EIPD se gatilla cuando un tratamiento puede implicar un alto riesgo para los derechos de los titulares. Estos son los escenarios típicos:

Situación¿Requiere EIPD?
Tratamiento de datos sensibles a gran escala (salud, biométricos…)
Observación o monitoreo sistemático de personas
Perfilamiento y decisiones automatizadas con efectos significativos
Uso de nuevas tecnologías con impacto en privacidad
Cruce o combinación masiva de bases de datosMuy probable
Tratamiento rutinario, de bajo volumen y bajo riesgoGeneralmente no

Ante la duda, hacer la EIPD es la opción prudente: el costo de evaluarla es bajo frente al de un tratamiento de alto riesgo sin análisis. Sectores como salud y banca la necesitan con frecuencia.

Qué debe contener una EIPD

  • Descripción del tratamiento: qué datos, de quién, con qué finalidad y por qué medios.
  • Necesidad y proporcionalidad: ¿es realmente necesario tratar esos datos para ese fin? ¿hay una vía menos invasiva?
  • Identificación de riesgos para los derechos de los titulares (acceso indebido, pérdida, uso desviado, discriminación).
  • Medidas de mitigación: controles técnicos y organizativos para reducir cada riesgo.
  • Conclusión y seguimiento: si el riesgo residual es aceptable y cómo se revisará en el tiempo.

Cómo hacerla paso a paso

  1. Identifica si se gatilla: usa la tabla de arriba al diseñar un tratamiento nuevo o al revisar uno existente en tu RAT.
  2. Describe el tratamiento con detalle (flujos de datos, sistemas, terceros).
  3. Evalúa necesidad y proporcionalidad: descarta datos o finalidades que no aporten.
  4. Mapea los riesgos y su probabilidad e impacto.
  5. Define medidas de mitigación y recalcula el riesgo residual.
  6. Documenta y decide: si el riesgo residual sigue siendo alto, revisa el diseño antes de avanzar.
  7. Revisa la EIPD cuando el tratamiento cambie.

Errores comunes

  • Hacerla al final, cuando el sistema ya está construido. La EIPD es privacidad desde el diseño: va al inicio.
  • Tratarla como un formulario a llenar, sin decisiones reales sobre el diseño del tratamiento.
  • No involucrar a TI y a legal juntos: el riesgo es técnico y jurídico a la vez.
  • No revisarla cuando cambia la finalidad o se suma un proveedor.

¿Tienes tratamientos de alto riesgo sin evaluar?

Te ayudamos a identificar cuáles requieren EIPD y a realizarlas con foco en decisiones, no en papeles. Diagnóstico de 30 minutos, sin compromiso.

Solicitar diagnóstico

Preguntas frecuentes

¿Qué es una EIPD?

Una Evaluación de Impacto en Protección de Datos (EIPD, o DPIA) es un análisis previo que identifica y mitiga los riesgos que un tratamiento puede generar para los derechos de las personas. Se realiza antes de iniciar tratamientos de alto riesgo.

¿Cuándo es obligatoria?

Cuando un tratamiento puede implicar un alto riesgo: datos sensibles a gran escala, monitoreo sistemático, perfilamiento, decisiones automatizadas con efectos significativos o uso de nuevas tecnologías. Ante la duda, hacerla es lo prudente.

¿Qué debe contener?

Descripción del tratamiento y su finalidad, evaluación de necesidad y proporcionalidad, identificación de riesgos para los titulares, medidas de mitigación y conclusiones con seguimiento.

¿Quién la hace?

El responsable del tratamiento, idealmente con el Delegado de Protección de Datos (DPO) si existe, y con apoyo de las áreas técnicas y legales. Debe documentarse y revisarse cuando el tratamiento cambia.

Escrito por

El equipo de AlayIAtrust

Equipo de abogados y consultores especializados en protección de datos personales y cumplimiento de la Ley 21.719 en Chile.

También te puede interesar

Cumplimiento

Registro de Actividades de Tratamiento (RAT): qué es y cómo hacerlo

 Gobernanza

¿Es obligatorio el DPO en Chile? El Delegado de Protección de Datos

 Compliance

Checklist de cumplimiento de la Ley 21.719: los 10 frentes a cerrar
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico