Evaluación de Impacto (EIPD): cuándo es obligatoria

Equipo auditorialey21719.clPublicado el 14 de junio de 2026

Antes de lanzar un sistema que use muchos datos sensibles o que monitoree a personas, la Ley 21.719 te obliga a frenar y evaluar. La Evaluación de Impacto (EIPD) es ese ejercicio previo. Saber cuándo es obligatoria te evita lanzar un proyecto que nace incumpliendo.

Qué es la Evaluación de Impacto (EIPD) y cuándo es obligatoria

La Evaluación de Impacto en Protección de Datos (EIPD, también llamada DPIA) es un análisis que se hace antes de iniciar un tratamiento que pueda generar un alto riesgo para los derechos y libertades de las personas. Su objetivo es identificar esos riesgos y definir cómo mitigarlos antes de que el tratamiento comience.

La Ley 21.719 la incorpora como obligación en los casos de alto riesgo. No todos los tratamientos la requieren: una lista de correos para enviar un boletín probablemente no, pero un sistema de reconocimiento facial o el tratamiento masivo de datos de salud, sí.

¿Cuándo es obligatoria la EIPD?

La EIPD tiende a ser obligatoria cuando el tratamiento implica un alto riesgo, lo que ocurre típicamente en situaciones como:

  • Tratamiento a gran escala de datos sensibles (salud, biometría, etc.).
  • Monitoreo sistemático y a gran escala de personas (por ejemplo, videovigilancia masiva).
  • Uso de nuevas tecnologías que puedan afectar derechos, como decisiones automatizadas o perfilamiento.
  • Decisiones automatizadas con efectos significativos para las personas (scoring crediticio, selección de personal).

El detalle de los supuestos exactos se precisa en la ley y su reglamento (verificar).

Qué debe contener una EIPD

Una evaluación de impacto bien hecha documenta, como mínimo:

  • Descripción del tratamiento: qué datos, finalidad, alcance y contexto.
  • Evaluación de la necesidad y proporcionalidad del tratamiento.
  • Identificación de los riesgos para los derechos de las personas.
  • Medidas de mitigación previstas para reducir esos riesgos.
  • Justificación de por qué el tratamiento es legítimo pese a los riesgos.

Por qué conviene hacerla aunque no sea obligatoria

BeneficioPor qué importa
Reduce riesgo de sanciónDemuestra responsabilidad proactiva ante la Agencia
Detecta problemas tempranoEs más barato corregir antes de lanzar
Mejora la confianzaClientes y socios valoran el cuidado de los datos
Documenta decisionesSirve como evidencia si hay una fiscalización

Hacer una EIPD incluso en casos de riesgo medio es una buena práctica que ordena el proyecto y respalda tus decisiones.

Conclusión

La Evaluación de Impacto (EIPD) es la herramienta que la Ley 21.719 exige para frenar y pensar antes de lanzar tratamientos de alto riesgo. Hacerla bien protege a las personas y, de paso, a tu empresa de sanciones. Puedes evaluar si tus proyectos requieren una EIPD acá.

Preguntas frecuentes

¿Qué es una EIPD en la Ley 21.719?+

Es la Evaluación de Impacto en Protección de Datos, un análisis previo que identifica y mitiga los riesgos de un tratamiento de alto riesgo para los derechos de las personas.

¿Cuándo es obligatoria la EIPD?+

Cuando el tratamiento implica alto riesgo: por ejemplo, tratamiento a gran escala de datos sensibles, monitoreo sistemático o decisiones automatizadas con efectos significativos.

¿Quién debe hacer la EIPD?+

El responsable del tratamiento, idealmente con apoyo del Delegado de Protección de Datos (DPO) si la empresa cuenta con uno.

¿La EIPD se hace antes o después de lanzar el tratamiento?+

Antes. La idea es identificar y mitigar los riesgos previo a iniciar el tratamiento, no corregir cuando el daño ya ocurrió.

¿Qué pasa si no hago una EIPD obligatoria?+

Sería un incumplimiento de la ley, expuesto a las sanciones que aplique la Agencia. Además, aumentas el riesgo real de causar un daño no previsto.

¿En qué punto está tu empresa con la Ley 21.719?

Arma tu carpeta de cumplimiento con cumpleahora.cl: los 10 documentos que exige la ley, listos en 3 horas y en 3 cuotas.

Armar mi carpeta de cumplimiento
O hacé el diagnóstico gratuito en 7 minutos

Seguí leyendo