En el marco del Reglamento General de Protección de Datos (RGPD) y, en España, la LOPDGDD, no basta con “tener buena intención” o “usar datos públicos”. Si tratas datos personales, debes poder justificar por qué lo haces, para qué, qué impacto puede tener en las personas y qué medidas aplicas para proteger sus derechos.
Dos herramientas habituales para documentar ese análisis son el LIA (Evaluación del Interés Legítimo) y el DPIA (Evaluación de Impacto en Protección de Datos).
Qué es el LIA (Legitimate Interest Assessment)
El LIA es un análisis que se utiliza cuando una organización pretende basar un tratamiento de datos en la base jurídica del interés legítimo. Su finalidad es demostrar, por escrito, que ese interés puede prevalecer sobre los derechos y libertades de las personas afectadas, y que el tratamiento es razonable y proporcional.
Para qué sirve un LIA
Un LIA sirve para responder de forma documentada a preguntas como:
- ¿Cuál es el interés legítimo concreto que se persigue?
- ¿Es realmente necesario tratar datos personales para lograr ese fin?
- ¿Cómo afecta el tratamiento a las personas y qué expectativas razonables pueden tener?
- ¿Qué salvaguardas se aplican para reducir el impacto (información clara, derecho de oposición, minimización de datos, etc.)?
Cuándo suele ser necesario un LIA
El LIA suele ser relevante cuando el tratamiento no se basa en el consentimiento ni en un contrato, y se pretende justificar por interés legítimo. En la práctica, aparece con frecuencia en actividades como la prospección comercial B2B, el uso de datos de contacto profesionales o el aprovechamiento de información publicada en fuentes accesibles al público, siempre que exista una justificación y medidas adecuadas.
Importante: el interés legítimo no es automático. Depende del contexto, del tipo de datos, de la finalidad, de la relación con el interesado y de las medidas de mitigación que se apliquen.
Qué es el DPIA (Data Protection Impact Assessment)
El DPIA (Evaluación de Impacto relativa a la Protección de Datos) es un análisis más profundo que se realiza cuando un tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas. Su objetivo es identificar riesgos, valorar su gravedad y probabilidad, y definir medidas concretas para reducirlos antes de iniciar el tratamiento.
Para qué sirve un DPIA
Un DPIA ayuda a:
- Describir el tratamiento de forma clara (datos, finalidad, flujos, destinatarios, plazos, etc.).
- Evaluar la necesidad y proporcionalidad del tratamiento.
- Detectar riesgos para las personas (pérdida de control, discriminación, exposición, suplantación, etc.).
- Definir medidas técnicas y organizativas para mitigar esos riesgos.
- Determinar el riesgo residual tras aplicar dichas medidas.
Cuándo puede ser obligatorio un DPIA
El DPIA puede ser obligatorio cuando el tratamiento es especialmente intrusivo o intensivo, por ejemplo (de forma orientativa):
- Tratamientos a gran escala.
- Perfilado o evaluación sistemática de personas con efectos relevantes.
- Uso de nuevas tecnologías con incertidumbre sobre sus impactos.
- Combinación de grandes volúmenes de datos o múltiples fuentes.
- Observación o monitorización sistemática.
Importante: no existe una regla universal válida para todos los casos. La obligación de realizar un DPIA depende del contexto y del nivel de riesgo, y suele requerir un análisis específico.
Diferencias clave entre LIA y DPIA
- LIA: se centra en justificar el uso del interés legítimo como base jurídica.
- DPIA: se centra en identificar y mitigar riesgos elevados del tratamiento.
En algunos proyectos pueden ser necesarios ambos: un LIA para justificar la base legal y un DPIA para documentar la gestión del riesgo cuando el tratamiento es más sensible o intensivo.
Una nota práctica sobre “plantillas”
Aunque existan modelos o esquemas orientativos, ni el LIA ni el DPIA deberían tratarse como un simple trámite. Para que tengan valor real (y sean defendibles ante un DPO o una autoridad), deben reflejar el tratamiento concreto, sus finalidades, los datos implicados y las medidas aplicadas.
Este contenido es informativo y no constituye asesoramiento legal personalizado.
Si tu caso es cold email
Si tu actividad incluye prospección comercial por correo electrónico (por ejemplo, cold email), es especialmente importante documentar bien la base jurídica aplicable y las medidas de transparencia, minimización y respeto del derecho de oposición. Y si quieres ejecutar campañas de correo en frío, puedes hacerlo con Mailerfind.
0 comentarios