Evaluarea de impact (DPIA): când este obligatorie și ce presupune în practică

Evaluarea de impact (DPIA): când este obligatorie și ce presupune în practică

09/06/2025

GDPR impune nu doar respectarea principiilor de prelucrare a datelor, ci și anticiparea riscurilor care pot afecta drepturile persoanelor vizate. În acest context, una dintre cele mai importante obligații este Evaluarea de Impact asupra Protecției Datelor (DPIA).

Deși este adesea omisă de multe firme, DPIA-ul este obligatoriu în anumite cazuri – iar lipsa acestuia poate atrage sancțiuni serioase, mai ales dacă apare un incident.

Ce este o evaluare de impact (DPIA)?

Evaluarea de impact asupra protecției datelor (Data Protection Impact Assessment – DPIA) este un proces formal de identificare, analiză și atenuare a riscurilor pentru datele personale care pot apărea într-o activitate de prelucrare.

Este un document intern, dar obligatoriu, care arată că firma:

  • È™i-a evaluat riscurile în mod conÈ™tient,
  • a implementat măsuri adecvate de protecÈ›ie,
  • poate justifica prelucrarea È™i deciziile legate de ea.

    • Când este DPIA-ul obligatoriu? (Art. 35 GDPR)

    Conform art. 35 din GDPR, evaluarea de impact este obligatorie atunci când o activitate de prelucrare:

  • este susceptibilă să genereze un risc ridicat pentru drepturile È™i libertățile persoanelor fizice,
  • implică monitorizare sistematică, prelucrarea unor categorii speciale de date (ex: sănătate, biometrie) sau tehnologii noi.

    • Exemple tipice în care DPIA este necesar:

  • monitorizarea angajaÈ›ilor prin camere video sau aplicaÈ›ii de tip time-tracking,
  • sisteme de supraveghere video inteligente cu recunoaÈ™tere facială,
  • colectarea datelor biometrice (amprentă, iris),
  • scoring automatizat (ex: evaluarea clienÈ›ilor pentru credite),
  • analiză predictivă comportamentală în marketing.

    • Liste oficiale:
    Autoritățile de protecție a datelor, inclusiv ANSPDCP, publică liste de cazuri în care DPIA este obligatorie. Ignorarea acestor liste înseamnă nerespectarea GDPR.

    Ce presupune o evaluare DPIA?

    Evaluarea trebuie să documenteze clar:

    1. Descrierea prelucrării

  • ce date se colectează,
  • cum sunt obÈ›inute È™i stocate,
  • cine are acces la ele È™i în ce scop.

    • 2. Scopurile prelucrării

  • de ce sunt necesare datele,
  • dacă există alte modalități mai puÈ›in intruzive.

    • 3. Evaluarea riscurilor

  • ce se întâmplă dacă datele sunt pierdute, furate sau accesate ilegal,
  • care sunt riscurile pentru persoana vizată (ex: discriminare, fraudă, pierderea controlului asupra datelor).

    • 4. Măsuri de protecÈ›ie

  • criptare, controlul accesului, pseudonimizare,
  • politici interne, instruirea personalului,
  • limitarea stocării È™i transferurilor.

    • 5. Rezultatul evaluării

  • se decide dacă prelucrarea poate merge înainte,
  • dacă trebuie modificată,
  • sau dacă trebuie consultată autoritatea de supraveghere (ANSPDCP).

    • Cine trebuie să facă DPIA-ul?

    Responsabilitatea este a operatorului de date (firma ta), nu a unui partener sau furnizor. Dacă ai un DPO (Responsabil cu Protecția Datelor), trebuie să fie implicat în acest proces.

    În lipsa unui DPO, DPIA-ul poate fi realizat intern sau externalizat, dar trebuie documentat corect și complet.

    Ce se întâmplă dacă nu faci DPIA?

  • Dacă activitatea ta intră în categoria celor care impun DPIA, iar tu nu o faci, eÈ™ti considerat neconform cu GDPR.
  • ÃŽn caz de incident, lipsa evaluării agravează răspunderea.
  • PoÈ›i primi amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală.

    • Când trebuie consultată autoritatea?

    Dacă în urma DPIA-ului identifici un risc ridicat care nu poate fi eliminat prin măsuri tehnice sau organizatorice, trebuie să consulți ANSPDCP înainte de a începe prelucrarea.

    Autoritatea îți poate cere modificări, măsuri suplimentare sau chiar interzicerea prelucrării.

    Concluzie

    Evaluarea de impact (DPIA) nu este o formalitate birocratică, ci un instrument esențial pentru protejarea datelor și pentru protejarea ta, ca operator.

    Dacă prelucrezi date într-un mod intruziv, automatizat sau vizând date sensibile, DPIA-ul este un pas obligatoriu. Mai bine să-l faci corect la timp, decât să-l faci forțat în urma unui incident.

    Boldshare te poate ajuta cu:

  • identificarea prelucrărilor care necesită DPIA,
  • redactarea completă È™i justificată a evaluării,
  • relaÈ›ia cu autoritatea de supraveghere.

    • Scrie-ne dacă vrei să afli dacă activitatea firmei tale necesită o evaluare DPIA.

    Întrebări frecvente (FAQ)

    1. Dacă nu prelucrez date sensibile, mai trebuie să fac DPIA?

    Nu neapărat. DPIA este obligatorie doar dacă există un risc ridicat pentru drepturile persoanelor vizate. Totuși, dacă activitatea implică monitorizare sistematică sau tehnologii invazive, poate fi necesară și fără date sensibile.

    2. Pot să fac DPIA doar formal, ca o bifă?

    Nu este recomandat. DPIA-ul trebuie să reflecte realitatea proceselor tale, să fie coerent și să demonstreze o analiză reală a riscurilor și măsurilor. Autoritățile pot verifica conținutul DPIA-ului, nu doar existența sa.

    3. Este DPIA același lucru cu auditul GDPR?

    Nu. Auditul GDPR e o evaluare generală a conformității firmei tale, în timp ce DPIA vizează un proces concret de prelucrare cu risc ridicat. Cele două pot fi complementare.

    4. Trebuie să trimit DPIA la ANSPDCP?

    Doar dacă în urma evaluării rezultă un risc ridicat care nu poate fi redus prin măsuri tehnice sau organizatorice. În acest caz, ești obligat să consulți autoritatea înainte de începerea prelucrării.

    5. Pot externaliza realizarea DPIA-ului?

    Da. Poți colabora cu un consultant sau o firmă specializată. Important este ca documentul rezultat să fie personalizat, justificat și să reflecte realitatea activității tale.

    Leave a Comment

    Your email address will not be published. Required fields are marked *

    *
    *