DPIA para el consentimiento de cookies: cuándo los editores deben realizar una evaluación de impacto en la protección de datos
La mayoría de los editores consideran la evaluación de impacto en la protección de datos como una tarea de cumplimiento para otra persona — el delegado de protección de datos, el asesor jurídico externo, el raro proyecto de ingeniería que toca la biometría. En realidad, el GDPR exige una DPIA para un conjunto de actividades mucho más amplio del que la mayoría de los operadores de adtech reconocen, y muchos flujos de consentimiento de cookies y publicidad conductual caen de lleno dentro del desencadenante. La pregunta que ahora hacen los reguladores a los editores en auditorías e investigaciones de reclamaciones es directa: ¿realizó una DPIA antes de implementar este seguimiento y puede mostrárnosla? Esta guía explica cuándo una DPIA es obligatoria, qué debe contener y cómo elaborar una que supere la revisión regulatoria.
Qué es una DPIA y por qué existe
La evaluación de impacto en la protección de datos está definida en el Artículo 35 del GDPR. Es un análisis documentado que un responsable del tratamiento debe realizar antes de iniciar cualquier operación de tratamiento que probablemente resulte en un alto riesgo para los derechos y libertades de las personas físicas. La DPIA obliga al responsable del tratamiento a describir el tratamiento, evaluar su necesidad y proporcionalidad, identificar riesgos y documentar las medidas adoptadas para mitigarlos. Si el riesgo residual sigue siendo alto, el responsable del tratamiento debe consultar a la autoridad supervisora antes de poner en marcha el tratamiento.
Para los editores, la DPIA no es un artefacto jurídico puntual. Es el documento central que un regulador solicitará al investigar una reclamación sobre cookies o seguimiento, y es el documento que determina si el editor puede demostrar responsabilidad proactiva en virtud del Artículo 5(2). Sin él, la carga de la prueba se desplaza decisivamente en su contra.
Cuándo es obligatoria una DPIA para flujos de cookies y consentimiento
El Artículo 35(3) enumera tres desencadenantes explícitos de la DPIA. Las directrices del Article 29 Working Party (ahora adoptadas por el EDPB) añaden una lista de nueve criterios indicativos. Una actividad de tratamiento que cumpla dos de esos criterios se presume que requiere una DPIA. Para los flujos de cookies y adtech, los criterios más relevantes son:
- Evaluación sistemática y exhaustiva — incluida la elaboración de perfiles para publicidad y personalización de contenidos.
- Tratamiento a gran escala — medido por volumen de datos, número de interesados, alcance geográfico y duración. Los sitios de editores con usuarios mensuales de siete cifras casi siempre cumplen los requisitos.
- Uso innovador de la tecnología — cubre la toma de huellas digitales, la identificación entre dispositivos, el aprendizaje federado, la medición de la atención y la inferencia conductual basada en IA.
- Seguimiento de la ubicación o el comportamiento — capturado directamente por la publicidad conductual y el retargeting.
- Combinación o cotejo de conjuntos de datos — incluidos el enriquecimiento del lado del servidor, los grafos de identidad, las salas de datos limpios y la vinculación de plataformas de datos de clientes.
Un sitio típico de un editor de nivel medio que utiliza publicidad conductual y ejecuta más de unos pocos píxeles de terceros cumplirá al menos tres de estos criterios simultáneamente. La presunción de que se requiere una DPIA es, en la práctica, una casi certeza. Varias autoridades nacionales de protección de datos han publicado sus propias listas obligatorias de DPIA; el Garante italiano, la CNIL francesa y el DSK alemán han designado la publicidad programática y la elaboración de perfiles entre sitios como desencadenantes predeterminados de DPIA.
Qué debe contener el documento DPIA
El Artículo 35(7) establece cuatro contenidos obligatorios. Una DPIA a la que falte alguno de ellos es tratada por los reguladores como si no se hubiera realizado en absoluto.
Una descripción sistemática del tratamiento
Esto no es un resumen de un párrafo. La descripción debe cubrir cada categoría de datos personales tratados, cada finalidad, cada destinatario, cada período de conservación y cada transferencia transfronteriza. Para un flujo de adtech, esto significa enumerar cada proveedor en su cadena TCF, los datos que recibe cada uno y la base jurídica alegada para cada uno. Los editores que copian directamente la lista de proveedores de TCF v2.2 en el apéndice de la DPIA han elaborado documentos funcionales; los que la resumen en dos frases, no.
Una evaluación de la necesidad y la proporcionalidad
La necesidad pregunta si la misma finalidad puede lograrse con menos datos o con datos no personales. Para un flujo de publicidad conductual, esto significa abordar honestamente si la publicidad contextual serviría a la misma finalidad. El EDPB Opinion 28/2024 es explícito en que una DPIA no puede descartar la publicidad contextual en una sola línea — el responsable del tratamiento debe demostrar que se consideró la alternativa y explicar por qué fue rechazada.
Una evaluación de los riesgos para los interesados
El análisis de riesgos debe tener en cuenta el acceso ilícito, la divulgación no autorizada, la alteración, la pérdida y los riesgos sociales más amplios de la elaboración de perfiles — efectos disuasorios, discriminación, dependencia. Para cada riesgo identificado, la evaluación debe indicar la probabilidad, la gravedad y el nivel residual tras las mitigaciones.
Las medidas adoptadas para abordar los riesgos
Aquí es donde la plataforma de gestión del consentimiento aparece en la DPIA. La captura granular del consentimiento, la exclusión voluntaria proveedor por proveedor, la retirada sencilla, los límites de conservación, el cifrado en tránsito y en reposo, las garantías contractuales sobre los encargados del tratamiento — cada medida debe estar vinculada a un riesgo específico identificado. Una declaración genérica de que el editor utiliza un CMP no es una medida.
El papel del delegado de protección de datos
El Artículo 35(2) exige que el responsable del tratamiento solicite el asesoramiento del DPO al realizar una DPIA. Para los editores con un DPO designado, esto es sencillo. Para los editores más pequeños sin DPO, la DPIA puede igualmente realizarse, pero debe llevarse a cabo con asesoramiento externo documentado — asesor jurídico externo, consultor sectorial o el equipo de cumplimiento de un proveedor de CMP. El papel del DPO es cuestionar el análisis de necesidad del responsable del tratamiento, no validarlo mecánicamente.
Cuándo se requiere consulta previa
El Artículo 36 exige la consulta previa a la autoridad supervisora cuando la DPIA muestra que el tratamiento daría lugar a un alto riesgo que el responsable del tratamiento no puede mitigar. En la práctica, esto es infrecuente para los flujos de cookies y consentimiento — la mayoría de los riesgos pueden mitigarse mediante el consentimiento granular, la reducción de proveedores, los límites de conservación y las garantías contractuales. Pero no es cero. Dos casos que han desencadenado consulta previa en 2024 y 2025: un identificador basado en huellas digitales implementado sin integración TCF, y un grafo de identidad entre dispositivos que combinaba datos propios con intermediarios de datos de terceros. Los editores que exploran cualquiera de los dos patrones deben planificar un calendario de consulta de seis a doce semanas.
Cómo utilizan los reguladores la DPIA en las investigaciones
La DPIA es el único documento que un regulador solicita en primer lugar cuando una reclamación sobre cookies alcanza la fase de investigación formal. El Garante italiano, la CNIL francesa, la APD belga y la BayLDA bávara abren todos sus expedientes procedimentales con una solicitud de la DPIA que cubre la actividad en cuestión. De las decisiones recientes emergen tres patrones:
Las DPIA elaboradas tardíamente se descuentan fuertemente
Una DPIA fechada después de la solicitud del regulador no será tratada como evidencia de una evaluación previa al lanzamiento. Varias decisiones de 2025 han señalado explícitamente que el documento fue creado a posteriori y lo han ponderado en consecuencia. La DPIA debe preceder al inicio del tratamiento, y los metadatos del documento o el historial de versiones deben dejarlo claro.
Las DPIA genéricas se tratan como ausentes
Una DPIA de plantilla copiada del portal de un proveedor de CMP sin análisis específico del sitio se rechaza cada vez más. La decisión del Garante de 2025 contra un grupo editorial italiano nombró seis de los nueve sitios en el alcance y constató que una sola DPIA compartida que los cubría a todos no satisfacía el Artículo 35.
Las medidas de mitigación deben coincidir con lo que realmente se implementa
Si la DPIA describe una conservación de cookies de 60 días pero las cookies implementadas utilizan una vida útil de 24 meses, el regulador tratará la DPIA como inexacta. La auditoría trimestral de la configuración implementada frente a la descripción de la DPIA ya no es opcional.
Poniéndolo todo junto
Para la mayoría de los editores, la respuesta práctica es la misma: se requiere una DPIA, debe redactarse antes de que se lance cualquier nuevo seguimiento y debe revisarse trimestralmente frente a la configuración implementada. El documento no tiene que ser extenso, pero debe ser específico del sitio, redactado antes del lanzamiento, firmado por el DPO o el asesor externo documentado, y alineado con lo que realmente se ejecuta en producción. Los editores que abordan correctamente esos cuatro puntos convierten la DPIA de una carga de cumplimiento en la defensa más sólida que tienen cuando un regulador llega a preguntar.