DPIA în practică: când o faci, cum o faci și ce te așteaptă la control

Ce este, pe scurt

DPIA — în limba română, „evaluare a impactului asupra protecției datelor" — e o analiză structurată a unui proces de prelucrare de date înainte de a-l implementa, prin care identifici riscurile pentru drepturile persoanelor vizate și măsurile de mitigare. E reglementată de art. 35 GDPR și e obligatorie atunci când prelucrarea „poate genera un risc ridicat" pentru drepturile și libertățile persoanelor.

Când e obligatorie

Art. 35 alin. (3) GDPR enumeră trei situații obligatorii:

• Evaluare sistematică și extinsă a aspectelor personale ale persoanelor fizice, bazată pe prelucrare automatizată, cu efecte juridice sau similar semnificative.
• Prelucrare pe scară largă a categoriilor speciale de date (art. 9) sau a datelor referitoare la condamnări penale (art. 10).
• Monitorizare sistematică pe scară largă a unei zone accesibile publicului.

Pe lângă aceste trei, EDPB (fosta Article 29 Working Party) a stabilit nouă criterii operaționale. Dacă o prelucrare îndeplinește cel puțin două, DPIA e necesară:

1. Evaluare sau scoring (inclusiv profilare).
2. Decizii automatizate cu efecte juridice sau similare.
3. Monitorizare sistematică.
4. Date sensibile sau de natură intim privată.
5. Date prelucrate la scară largă.
6. Combinare sau coroborare de seturi de date.
7. Date privind persoane vulnerabile (copii, angajați, pacienți).
8. Utilizare inovatoare sau aplicare de soluții tehnologice noi.
9. Prelucrarea împiedică persoanele vizate să-și exercite un drept sau să folosească un serviciu.

ANSPDCP a publicat și o listă proprie de prelucrări care necesită obligatoriu DPIA (Decizia 174/2018) — recomandare practică: înainte de orice proiect de produs nou cu componentă de date, verifică decizia respectivă punctual.

Structura unei DPIA care rezistă la control

O DPIA bună are următoarele componente:

1. Descrierea sistematică a prelucrării

Ce date colectezi, de la cine, cu ce scop, pe ce temei juridic, cu ce flux, cât timp le păstrezi, cui le transmiți, dacă ies din SEE. Aceasta nu e o reformulare a politicii de confidențialitate — e o descriere tehnică operațională, cu diagramele fluxurilor de date.

2. Evaluarea necesității și proporționalității

De ce sunt aceste date strict necesare pentru atingerea scopului? Există alternative mai puțin invazive? Aceasta e secțiunea pe care, în controale, autoritatea o citește cu cea mai mare atenție.

3. Identificarea riscurilor

Ce poate merge prost pentru persoana vizată? Acces neautorizat, divulgare, pierdere, alterare, utilizare în alte scopuri, profilare nelegitimă, decizii automatizate eronate. Pentru fiecare risc, evaluezi probabilitate și impact pe o scală definită.

4. Măsuri de mitigare

Tehnice (criptare, pseudonimizare, control acces, log-uri, retention automat) și organizatorice (instruire, NDA-uri, proceduri, audituri). Pentru fiecare măsură, precizezi cine răspunde și termen.

5. Risc rezidual și avizare

După mitigare, ce risc rămâne? Dacă rămâne ridicat, ai obligația să consulți ANSPDCP (art. 36 GDPR). Această consultare prealabilă e rar folosită în practică — și de aceea, mulți operatori sunt expuși fără să o știe.

Ce caută ANSPDCP la control

Din experiența cu controale și răspunsuri la solicitări de informații de la autoritate, iată ce găsește ANSPDCP cel mai frecvent ca neajunsuri:

• DPIA inexistentă acolo unde e obligatorie — sancțiunea e adesea minimă comparativ cu lipsa altor măsuri, dar e un semnal pentru autoritate că operatorul nu și-a făcut „temele de bază".
• DPIA generică — un template completat superficial, fără analiză reală a fluxurilor specifice. Autoritatea distinge rapid.
• DPIA fără implicarea DPO-ului — art. 35 alin. (2) cere expres consultarea DPO-ului în procesul DPIA. Lipsa avizării DPO-ului e o problemă procedurală vizibilă.
• Lipsa actualizării — o DPIA nu e document static. La schimbări semnificative ale prelucrării sau riscului, trebuie revizuită.
• Risc rezidual ridicat fără consultarea autorității — încadrare incorectă a riscului final.

Greșeli frecvente

Cele mai dese greșeli pe care le văd în DPIA-uri ale operatorilor români:

• Confuzia între DPIA și „registrul de prelucrare" (art. 30) — sunt documente diferite, cu funcții diferite.
• Tratarea DPIA ca exercițiu juridic, nu ca exercițiu de business. DPIA poate (și trebuie) să influențeze decizii de produs.
• Documentarea doar a riscurilor „interesante" — adevăratele riscuri sunt cele banale: human error, configurări greșite, retenție prea lungă.
• Ignorarea perspectivei persoanei vizate. DPIA nu e despre cum îți protejezi tu organizația de sancțiuni — e despre cum protejezi drepturile celor ale căror date le procesezi.

Concluzie

DPIA bună este un instrument de guvernanță a produselor, nu un act conform de bifat. Făcută corect, te ajută să identifici probleme înainte ca acestea să devină incidente. Făcută superficial, e o țintă perfectă într-un control.

Dacă lansezi un produs, un feature, sau un proces nou care implică date personale — mai ales date sensibile, date de la copii, sau decizii automate — DPIA e un pas pe care merită să-l faci serios. Costă mai puțin în avans decât în reparație.