Evaluarea de impact (DPIA): când este obligatorie și ce presupune în practică

Evaluarea de impact (DPIA): când este obligatorie și ce presupune în practică

09/06/2025

GDPR impune nu doar respectarea principiilor de prelucrare a datelor, ci și anticiparea riscurilor care pot afecta drepturile persoanelor vizate. În acest context, una dintre cele mai importante obligații este Evaluarea de Impact asupra Protecției Datelor (DPIA).

Deși este adesea omisă de multe firme, DPIA-ul este obligatoriu în anumite cazuri – iar lipsa acestuia poate atrage sancțiuni serioase, mai ales dacă apare un incident.

Ce este o evaluare de impact (DPIA)?

Evaluarea de impact asupra protecției datelor (Data Protection Impact Assessment – DPIA) este un proces formal de identificare, analiză și atenuare a riscurilor pentru datele personale care pot apărea într-o activitate de prelucrare.

Este un document intern, dar obligatoriu, care arată că firma:

  • și-a evaluat riscurile în mod conștient,
  • a implementat măsuri adecvate de protecție,
  • poate justifica prelucrarea și deciziile legate de ea.

    • Când este DPIA-ul obligatoriu? (Art. 35 GDPR)

    Conform art. 35 din GDPR, evaluarea de impact este obligatorie atunci când o activitate de prelucrare:

  • este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice,
  • implică monitorizare sistematică, prelucrarea unor categorii speciale de date (ex: sănătate, biometrie) sau tehnologii noi.

    • Exemple tipice în care DPIA este necesar:

  • monitorizarea angajaților prin camere video sau aplicații de tip time-tracking,
  • sisteme de supraveghere video inteligente cu recunoaștere facială,
  • colectarea datelor biometrice (amprentă, iris),
  • scoring automatizat (ex: evaluarea clienților pentru credite),
  • analiză predictivă comportamentală în marketing.

    • Liste oficiale:
    Autoritățile de protecție a datelor, inclusiv ANSPDCP, publică liste de cazuri în care DPIA este obligatorie. Ignorarea acestor liste înseamnă nerespectarea GDPR.

    Ce presupune o evaluare DPIA?

    Evaluarea trebuie să documenteze clar:

    1. Descrierea prelucrării

  • ce date se colectează,
  • cum sunt obținute și stocate,
  • cine are acces la ele și în ce scop.

    • 2. Scopurile prelucrării

  • de ce sunt necesare datele,
  • dacă există alte modalități mai puțin intruzive.

    • 3. Evaluarea riscurilor

  • ce se întâmplă dacă datele sunt pierdute, furate sau accesate ilegal,
  • care sunt riscurile pentru persoana vizată (ex: discriminare, fraudă, pierderea controlului asupra datelor).

    • 4. Măsuri de protecție

  • criptare, controlul accesului, pseudonimizare,
  • politici interne, instruirea personalului,
  • limitarea stocării și transferurilor.

    • 5. Rezultatul evaluării

  • se decide dacă prelucrarea poate merge înainte,
  • dacă trebuie modificată,
  • sau dacă trebuie consultată autoritatea de supraveghere (ANSPDCP).

    • Cine trebuie să facă DPIA-ul?

    Responsabilitatea este a operatorului de date (firma ta), nu a unui partener sau furnizor. Dacă ai un DPO (Responsabil cu Protecția Datelor), trebuie să fie implicat în acest proces.

    În lipsa unui DPO, DPIA-ul poate fi realizat intern sau externalizat, dar trebuie documentat corect și complet.

    Ce se întâmplă dacă nu faci DPIA?

  • Dacă activitatea ta intră în categoria celor care impun DPIA, iar tu nu o faci, ești considerat neconform cu GDPR.
  • În caz de incident, lipsa evaluării agravează răspunderea.
  • Poți primi amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală.

    • Când trebuie consultată autoritatea?

    Dacă în urma DPIA-ului identifici un risc ridicat care nu poate fi eliminat prin măsuri tehnice sau organizatorice, trebuie să consulți ANSPDCP înainte de a începe prelucrarea.

    Autoritatea îți poate cere modificări, măsuri suplimentare sau chiar interzicerea prelucrării.

    Concluzie

    Evaluarea de impact (DPIA) nu este o formalitate birocratică, ci un instrument esențial pentru protejarea datelor și pentru protejarea ta, ca operator.

    Dacă prelucrezi date într-un mod intruziv, automatizat sau vizând date sensibile, DPIA-ul este un pas obligatoriu. Mai bine să-l faci corect la timp, decât să-l faci forțat în urma unui incident.

    Boldshare te poate ajuta cu:

  • identificarea prelucrărilor care necesită DPIA,
  • redactarea completă și justificată a evaluării,
  • relația cu autoritatea de supraveghere.

    • Scrie-ne dacă vrei să afli dacă activitatea firmei tale necesită o evaluare DPIA.

    Întrebări frecvente (FAQ)

    1. Dacă nu prelucrez date sensibile, mai trebuie să fac DPIA?

    Nu neapărat. DPIA este obligatorie doar dacă există un risc ridicat pentru drepturile persoanelor vizate. Totuși, dacă activitatea implică monitorizare sistematică sau tehnologii invazive, poate fi necesară și fără date sensibile.

    2. Pot să fac DPIA doar formal, ca o bifă?

    Nu este recomandat. DPIA-ul trebuie să reflecte realitatea proceselor tale, să fie coerent și să demonstreze o analiză reală a riscurilor și măsurilor. Autoritățile pot verifica conținutul DPIA-ului, nu doar existența sa.

    3. Este DPIA același lucru cu auditul GDPR?

    Nu. Auditul GDPR e o evaluare generală a conformității firmei tale, în timp ce DPIA vizează un proces concret de prelucrare cu risc ridicat. Cele două pot fi complementare.

    4. Trebuie să trimit DPIA la ANSPDCP?

    Doar dacă în urma evaluării rezultă un risc ridicat care nu poate fi redus prin măsuri tehnice sau organizatorice. În acest caz, ești obligat să consulți autoritatea înainte de începerea prelucrării.

    5. Pot externaliza realizarea DPIA-ului?

    Da. Poți colabora cu un consultant sau o firmă specializată. Important este ca documentul rezultat să fie personalizat, justificat și să reflecte realitatea activității tale.

    Leave a Comment

    Your email address will not be published. Required fields are marked *

    *
    *