¿Qué son el modelo LIA y el modelo DPIA y cuándo son necesarios?

En el contexto del RGPD y de la normativa española de protección de datos (LOPDGDD), no basta con “usar datos públicos” para que un tratamiento sea automáticamente legal. La normativa exige analizar, documentar y justificar por qué y cómo se tratan los datos personales.

Aquí es donde entran en juego dos conceptos clave que suelen generar mucha confusión: el modelo LIA y el modelo DPIA.

Este artículo explica qué son, para qué sirven y cuándo pueden ser necesarios, con un enfoque práctico y comprensible, incluso si no tienes formación jurídica.

Punto de partida: una idea importante

Antes de entrar en detalle, conviene aclarar algo fundamental:

Mailerfind es una herramienta tecnológica.
La obligación de analizar la base legal del tratamiento y de cumplir el RGPD recae siempre en el usuario, no en la herramienta.

Mailerfind no decide la finalidad del tratamiento, ni el contenido de las campañas, ni la base jurídica aplicable. Por eso, en determinados casos, la normativa exige que el propio usuario realice evaluaciones como el LIA o el DPIA.

¿Qué es el modelo LIA (Legitimate Interest Assessment)?

Definición sencilla

El LIA es la Evaluación del Interés Legítimo.

Es un análisis que exige el RGPD cuando una empresa quiere tratar datos personales apoyándose en la base legal del interés legítimo, en lugar del consentimiento.

En otras palabras, sirve para responder de forma documentada a esta pregunta:

“¿Puedo tratar estos datos sin pedir consentimiento previo y aun así respetar los derechos de las personas?”

¿Por qué existe el LIA?

El RGPD permite el interés legítimo como base legal, pero no de forma automática.

Exige comprobar que:

• Existe un interés real y legítimo del responsable
• El tratamiento es necesario para ese interés
• Ese interés no prevalece sobre los derechos y libertades del interesado

El LIA es el documento que demuestra que ese análisis se ha hecho.

¿Qué analiza un LIA?

Aunque cada caso es distinto, un LIA suele estructurarse en tres bloques:

1. Finalidad

• ¿Qué interés persigue la empresa?
• ¿Es lícito, concreto y real?

2. Necesidad

• ¿El tratamiento de datos es realmente necesario para ese fin?
• ¿Existen alternativas menos intrusivas?

3. Equilibrio

• ¿Cómo afecta este tratamiento a la persona?
• ¿Es razonable que espere ese uso de sus datos?
• ¿Se aplican medidas de mitigación (información clara, derecho de oposición, limitación de datos, etc.)?

¿Cuándo suele ser necesario un LIA?

De forma orientativa (no automática), el LIA suele ser relevante cuando:

• Se realizan acciones de captación comercial sin consentimiento previo
• Se usan datos de contacto profesionales obtenidos de fuentes públicas
• Se envían emails de prospección B2B
• Se utilizan datos públicos para análisis o segmentación comercial

👉 Importante: que los datos sean públicos no elimina la necesidad de un LIA.

¿Qué es el modelo DPIA (Data Protection Impact Assessment)?

Definición sencilla

El DPIA es la Evaluación de Impacto relativa a la Protección de Datos.

Es un análisis más profundo que el LIA y se utiliza cuando un tratamiento puede suponer un riesgo elevado para los derechos y libertades de las personas.

El DPIA responde a esta pregunta:

“¿Este tratamiento puede generar riesgos significativos para los usuarios y cómo los voy a gestionar?”

¿Por qué existe el DPIA?

El RGPD no solo busca que los tratamientos sean legales, sino también seguros y proporcionados.

Cuando un tratamiento es especialmente intensivo, novedoso o sensible, la normativa exige analizar los riesgos antes de ponerlo en marcha, no después.

¿Qué analiza un DPIA?

Un DPIA suele incluir:

• Descripción detallada del tratamiento
• Análisis de necesidad y proporcionalidad
• Identificación de riesgos para los interesados
• Medidas técnicas y organizativas para reducir esos riesgos
• Evaluación del riesgo residual

Es un documento más técnico y exigente que el LIA.

¿Cuándo puede ser necesario un DPIA?

Algunos ejemplos habituales:

• Tratamientos a gran escala
• Uso intensivo de perfiles o segmentación avanzada
• Combinación de múltiples fuentes de datos
• Automatización con efectos significativos
• Tratamientos innovadores o poco habituales
• Uso sistemático de datos de terceros

👉 No todos los proyectos necesitan un DPIA, pero cuando es obligatorio y no se realiza, el riesgo legal es elevado.

LIA vs DPIA: diferencias clave

En algunos casos, pueden ser necesarios ambos.

¿Mailerfind proporciona modelos de LIA o DPIA?

Mailerfind puede facilitar materiales orientativos y esquemas de apoyo, pero:

• ❌ No ofrece modelos universales válidos para todos los casos
• ❌ No sustituye el análisis específico del usuario
• ❌ No actúa como asesor legal ni DPO

Cada LIA o DPIA debe adaptarse al contexto concreto del tratamiento, al tipo de datos, a la finalidad y a la forma de uso.

Lo que exige realmente la normativa

El RGPD no exige “papeles por cumplir”, sino responsabilidad proactiva (accountability).

Eso significa que, si una autoridad o un DPO analiza tu proyecto, deberías poder demostrar que:

• Has pensado el tratamiento antes de ejecutarlo
• Has evaluado su impacto
• Has tomado decisiones informadas
• Has aplicado medidas razonables de protección

El LIA y el DPIA son herramientas para demostrar eso.

Conclusión clara

• El LIA sirve para justificar el uso del interés legítimo
• El DPIA sirve para analizar y mitigar riesgos elevados
• No siempre son obligatorios, pero a veces sí
• No existen respuestas automáticas ni plantillas universales
• La responsabilidad recae en quien decide el uso de los datos

Si un tratamiento te genera dudas, normalmente es una señal de que merece un análisis previo, no de que “seguro que no pasa nada”.

Este artículo tiene fines informativos y educativos y no constituye asesoramiento legal personalizado.

Para casos complejos o de alto riesgo, es recomendable contar con un profesional especializado en protección de datos.

Actualizado el: 16/12/2025