Evaluarea impactului asupra protecției datelor (DPIA) este probabil cel mai discutat și cel mai prost înțeles document din GDPR. Unii îl tratează ca pe o formalitate birocratică care se completează retroactiv, după ce sistemul e deja live. Alții nici nu știu că trebuie să îl facă. Între timp, autoritățile de supraveghere îl cer tot mai des în investigații, iar lipsa unui DPIA realizat corect poate costa până la 20 de milioane de euro sau 4% din cifra de afaceri globală.
Articolul acesta nu e despre teorie. E un ghid pas cu pas, cu explicații concrete despre ce trebuie să conțină un DPIA, când trebuie făcut, cine îl face, cum arată procesul în practică și de ce managementul ar trebui să îl ia în serios înainte să ajungă pe biroul unui inspector ANSPDCP.
Ce este un DPIA și de ce există
DPIA este o analiză sistematică a unei activități de prelucrare a datelor cu caracter personal care prezintă un risc ridicat pentru drepturile și libertățile persoanelor fizice. Articolul 35 din GDPR cere ca această analiză să fie realizată înainte de începerea prelucrării, nu după.
Scopul nu e de a produce un document frumos. Scopul este de a identifica ce poate merge prost, cât de grav, pentru cine, și ce măsuri pot reduce acele riscuri la un nivel acceptabil. Dacă riscurile reziduale rămân ridicate și după ce ai aplicat toate măsurile rezonabile, art. 36 GDPR cere consultarea prealabilă a autorității de supraveghere (în România, ANSPDCP).
Un DPIA bine făcut face mai multe lucruri deodată: demonstrează conformitatea cu principiul responsabilității (accountability), reduce riscul de sancțiuni, ajută la luarea unor decizii informate despre arhitectura sistemelor. Dar cel mai valoros efect este că obligă pe toată lumea din organizație să se gândească la protecția datelor înainte de a lansa un proiect, nu după ce incidentul s-a produs.
Când trebuie făcut un DPIA
GDPR menționează trei situații în care DPIA este obligatoriu: evaluarea sistematică și extensivă a aspectelor personale ale persoanelor fizice, inclusiv profilarea; prelucrarea pe scară largă a categoriilor speciale de date sau a datelor privind condamnări penale; monitorizarea sistematică pe scară largă a unui spațiu accesibil publicului.
ANSPDCP a publicat o listă proprie cu tipuri de prelucrări care necesită DPIA. Dacă prelucrarea se regăsește pe lista aceea, discuția se încheie: DPIA este obligatoriu. Dar chiar dacă nu apare explicit pe listă, regula generală rămâne: dacă prelucrarea este susceptibilă să genereze un risc ridicat, trebuie făcut DPIA.
În practică, câteva situații frecvente care declanșează obligația:
Implementarea unui sistem de supraveghere video în spații accesibile publicului. Introducerea unui instrument de AI care procesează date personale pentru a lua decizii automate (aici intră și cerințele AI Act, care adaugă un strat suplimentar de obligații pentru sistemele de inteligență artificială cu risc ridicat). Lansarea unei aplicații care colectează date de sănătate. Externalizarea unor servicii care implică transferul de date personale către un procesor din afara UE. Implementarea de sisteme biometrice de control acces. Monitorizarea performanței angajaților prin instrumente digitale.
Dacă nu ești sigur dacă activitatea de prelucrare necesită DPIA, recomandarea WP29 (acum EDPB) este simplă: fă-l oricum. Nu există sancțiune pentru un DPIA realizat în plus, dar există sancțiune pentru unul care lipsește.
Cine face DPIA
Responsabilitatea formală aparține operatorului de date. În practică, DPIA se realizează de o echipă care include pe DPO (dacă organizația are desemnat unul), responsabilul de proiect sau sistem, reprezentanți IT/securitate informații și, unde e cazul, departamentul juridic.
DPO nu face DPIA singur. Rolul lui conform art. 35 alin. (2) GDPR este de a oferi consiliere și de a monitoriza procesul. Datele tehnice despre fluxurile de date, arhitectura sistemului și măsurile de securitate vin de la echipa IT. Evaluarea contextului de business vine de la managementul de proiect. DPO integrează aceste informații și verifică dacă analiza respectă cerințele legale.
Dacă organizația nu are un DPO intern, poate apela la un DPO externalizat care coordonează procesul și se asigură că documentul final este complet și coerent.
Pașii concreți ai unui DPIA
Pasul 1: Descrierea prelucrării
Documentează în detaliu ce se întâmplă cu datele. Nu în termeni vagi, ci specific:
Ce date personale sunt colectate (nume, CNP, date de sănătate, date biometrice, localizare, comportament online). De la cine se colectează (angajați, clienți, pacienți, cetățeni). Care este sursa datelor (colectate direct, primite de la terți, generate de sisteme). Cum circulă datele în sistem (cine are acces, unde sunt stocate, dacă sunt transferate, cui). Cât timp se păstrează și cum se șterg. Care este temeiul juridic al prelucrării (consimțământ, interes legitim, obligație legală, executarea unui contract). Care este scopul prelucrării, formulat concret, nu generic.
Un DPIA care începe cu „procesăm date personale în scopuri de business” nu valorează nimic. Unul care spune „procesăm datele de localizare GPS ale flotei de vehicule de serviciu, colectate la fiecare 30 de secunde, stocate 12 luni pe serverele furnizorului X din Germania, accesibile departamentului de logistică și managerului de flotă” permite o evaluare reală a riscurilor.
Pasul 2: Evaluarea necesității și proporționalității
Aici răspunzi la întrebări pe care mulți le ocolesc: chiar trebuie să prelucrezi aceste date? Poți obține același rezultat cu mai puține date sau cu date mai puțin sensibile? Ai ales cel mai puțin intruziv mijloc de prelucrare?
Principiul minimizării datelor (art. 5 alin. (1) lit. c GDPR) nu e un ideal abstract. Este o cerință legală verificabilă. Dacă colectezi CNP-ul pentru un program de fidelizare, evaluarea de necesitate va eșua. Dacă instalezi camere video cu recunoaștere facială într-un birou unde un simplu sistem de carduri ar fi suficient, proporționalitatea nu se justifică.
Trebuie verificat și dacă scopul prelucrării este suficient de clar definit, dacă informarea persoanelor vizate este completă și accesibilă, dacă există mecanisme efective de exercitare a drepturilor (acces, rectificare, ștergere, portabilitate), dacă relația cu procesatorii de date este reglementată corect (acorduri de prelucrare conforme art. 28 GDPR).
Pasul 3: Identificarea și evaluarea riscurilor
Aceasta este partea pe care majoritatea organizațiilor o fac superficial. Riscul nu se evaluează într-un tabel generic cu „probabilitate: medie, impact: mediu” pentru tot. Fiecare risc trebuie legat de un scenariu concret.
Câteva categorii de riscuri de analizat:
Accesul neautorizat la date (cine ar putea accesa datele fără drept și prin ce vector: atac extern, eroare internă, furnizor compromis). Pierderea sau distrugerea datelor (ce se întâmplă dacă serverul cade, dacă backup-ul e corupt, dacă furnizorul cloud încetează activitatea). Utilizarea datelor în scopuri incompatibile (datele colectate pentru un scop ajung folosite pentru altceva, fără temei juridic). Discriminare sau prejudicii pentru persoanele vizate (un algoritm de scoring care defavorizează sistematic anumite categorii de persoane). Imposibilitatea exercitării drepturilor (persoana vizată nu poate obține ștergerea sau rectificarea datelor din cauza arhitecturii sistemului). Breșe de securitate (date exfiltrate, ransomware, scurgeri accidentale).
În contextul sistemelor de AI, evaluarea riscurilor devine mai complexă. AI Act clasifică sistemele AI în funcție de nivel de risc și impune obligații suplimentare de transparență, supraveghere umană și documentație tehnică pentru sistemele cu risc ridicat. Dacă prelucrarea implică un sistem AI, DPIA trebuie să integreze și aceste cerințe.
Riscurile de securitate cibernetică se evaluează în corelare cu cerințele NIS 2, care impune măsuri de gestionare a riscurilor pentru entitățile esențiale și importante, inclusiv securitatea lanțului de aprovizionare, gestionarea incidentelor și continuitatea activității.
Pentru fiecare risc identificat, estimează probabilitatea de producere și gravitatea impactului asupra persoanelor vizate (nu asupra organizației, ci asupra oamenilor ale căror date sunt prelucrate).
Pasul 4: Măsuri de atenuare
Pentru fiecare risc, documentează ce măsuri se aplică sau se vor aplica pentru a-l reduce. Măsurile pot fi tehnice, organizatorice sau juridice:
Măsuri tehnice: criptarea datelor în tranzit și în repaus, controlul accesului bazat pe roluri, autentificare multi-factor, pseudonimizarea sau anonimizarea datelor acolo unde e posibil, logging și monitorizare, backup și proceduri de disaster recovery, segmentarea rețelei. Întrebarea cheie nu e „avem criptare?” ci „datele X, stocate pe serverul Y, administrat de furnizorul Z, sunt criptate cu ce standard, cheia de criptare cine o deține și cum se gestionează?”
Măsuri organizatorice: politici de acces clar definite, proceduri de răspuns la incidente, training periodic pentru angajații care lucrează cu datele, proceduri de ștergere la expirarea perioadei de retenție, audituri periodice.
Măsuri juridice: acorduri de prelucrare conforme art. 28 GDPR cu toți procesatorii, clauze contractuale standard sau alte mecanisme de transfer pentru datele transferate în afara SEE, informare completă a persoanelor vizate (privacy notice), mecanisme documentate de obținere și gestionare a consimțământului (acolo unde consimțământul este temeiul juridic).
După aplicarea măsurilor, reevaluează riscul rezidual. Dacă riscul rămâne ridicat, ai trei opțiuni: adaugi măsuri suplimentare, renunți la prelucrare sau consulți ANSPDCP conform art. 36 GDPR.
Pasul 5: Documentare și aprobare
DPIA se documentează într-un format structurat. Nu există un template obligatoriu impus de GDPR, dar documentul trebuie să conțină cel puțin elementele cerute de art. 35 alin. (7): descrierea sistematică a prelucrării, evaluarea necesității și proporționalității, evaluarea riscurilor și măsurile prevăzute.
Documentul se semnează de responsabilul de proiect, de DPO (care consemnează avizul său) și, în mod ideal, de un reprezentant al managementului. Această ultimă semnătură contează mai mult decât pare: ea demonstrează că managementul a luat cunoștință de riscuri și a aprobat măsurile propuse. În caz de incident, diferența între „managementul a fost informat” și „managementul nu știa” este semnificativă.
Pasul 6: Monitorizare și revizuire
Un DPIA nu este un document pe care îl faci o dată și îl uiți într-un sertar. Art. 35 alin. (11) GDPR cere revizuirea DPIA „cel puțin atunci când riscul prelucrării se schimbă”.
Ce schimbări declanșează o revizuire: modificarea scopului prelucrării, adăugarea de noi categorii de date, schimbarea furnizorilor sau a procesatorilor, actualizări ale sistemelor care modifică fluxurile de date, incidente de securitate legate de prelucrarea respectivă, modificări legislative relevante (de exemplu intrarea în vigoare a unor prevederi din AI Act sau transpunerea NIS 2 în legislația națională).
Recomandarea practică este revizuirea DPIA cel puțin anual, chiar dacă nu au intervenit schimbări vizibile. Mediul tehnic și cel legislativ se modifică suficient de rapid încât o analiză veche de doi ani e aproape sigur depășită.
De ce managementul trebuie să ia DPIA în serios
Aici e partea pe care mulți DPO o evită, deși nu ar trebui.
DPIA nu e o problemă a departamentului de conformitate. E o problemă de management. Articolul 35 GDPR pune obligația pe operator, adică pe organizație, adică pe cei care o conduc. Dacă DPIA lipsește sau e făcut superficial, răspunderea nu cade pe DPO, ci pe management.
Sancțiunile financiare sunt reale. În 2025, amenzile GDPR la nivel european au depășit cumulativ 3 miliarde de euro. ANSPDCP a aplicat sancțiuni în România pentru lipsa informării persoanelor vizate, prelucrări fără temei juridic, încălcări ale drepturilor persoanelor vizate și deficiențe de securitate. Absența DPIA este o circumstanță agravantă în orice investigație, pentru că demonstrează că organizația nu a evaluat riscurile prelucrării.
Dar sancțiunile financiare nu sunt singura problemă. Autoritățile pot interzice temporar prelucrarea până la remedierea deficiențelor. Pentru o companie care depinde de prelucrarea datelor pentru operațiunile curente, o suspendare poate fi mai costisitoare decât amenda.
Dincolo de amenzi, există un argument pe care directorii financiari îl înțeleg imediat: DPIA făcut serios evită cheltuieli mult mai mari pe termen lung. Un DPIA realizat în faza de proiect permite modificarea arhitecturii înainte de implementare, ceea ce costă o fracțiune din ce costă modificarea după lansare. Un DPIA făcut post-factum descoperă probleme pe care nu le mai poți remedia fără refacerea sistemului.
Mesajul pe care DPO trebuie să îl transmită managementului, oricât de inconfortabil ar fi: DPIA se face înainte de lansare, nu după. DPO coordonează procesul dar are nevoie de resurse și de acces la informații tehnice. Iar semnătura managementului pe document înseamnă asumare, nu bifă.
Legătura cu alte cadre de reglementare
DPIA nu există izolat. În 2026, o prelucrare de date cu risc ridicat poate intra simultan sub incidența GDPR, a AI Act și a NIS 2.
AI Act cere furnizorilor de sisteme AI cu risc ridicat să realizeze evaluări de conformitate care includ elemente comune cu DPIA: documentație tehnică, evaluarea riscurilor, măsuri de atenuare, supraveghere umană. Dacă organizația folosește un sistem AI care prelucrează date personale, DPIA trebuie să integreze cerințele ambelor reglementări într-un singur document coerent. Dacă se fac separat, se dublează efortul și se pierde din coerență.
NIS 2 impune entităților esențiale și importante obligații de gestionare a riscurilor de securitate cibernetică, raportare de incidente și securitate a lanțului de aprovizionare. Măsurile tehnice de securitate documentate în DPIA trebuie să fie corelate cu cerințele NIS 2. Un DPIA care spune „datele sunt criptate” fără să specifice standardul de criptare, gestionarea cheilor și procedura de răspuns la incidente nu satisface cerințele niciuneia dintre cele două reglementări.
Platforma askGDPR oferă instrumente de conformitate care pot facilita acest proces de integrare, iar echipa Infoshare Consulting oferă servicii de consultanță și DPO externalizat care acoperă întregul spectru: GDPR, NIS 2, AI Act, ISO 27001 și DORA.
Greșeli frecvente
DPIA realizat după lansarea sistemului. La momentul acela nu mai e evaluare de impact, e constatare de daune. Întregul scop al DPIA este de a permite ajustări în faza de proiectare.
Descrieri vagi ale prelucrării. „Prelucrăm date personale ale clienților” nu e o descriere. Fără detalii concrete despre ce date, de la cine, prin ce sisteme, către cine și pentru ce, evaluarea riscurilor devine un exercițiu de imaginație.
Riscuri evaluate generic. Un tabel cu „probabilitate medie, impact mediu” pentru toate riscurile arată că nimeni nu s-a gândit serios la scenariile concrete.
Măsuri de atenuare care nu există în practică. DPIA spune „avem procedură de ștergere a datelor” dar nimeni nu o aplică. DPIA spune „accesul e restricționat” dar toată lumea din departament are acces la tot.
Lipsa revizuirii. DPIA făcut în 2020 pentru un sistem care de atunci a fost modificat de trei ori nu mai reflectă realitatea.
DPO exclus din proces. Se cere DPO-ului să semneze un DPIA pe care nu l-a văzut până în ultima zi, fără acces la informațiile tehnice necesare.
Lista scurtă
Dacă ești DPO sau compliance officer și trebuie să faci un DPIA săptămâna viitoare, iată secvența:
Verifică dacă prelucrarea necesită DPIA (lista ANSPDCP, criteriile art. 35, ghidul EDPB). Adună echipa: IT, business, juridic, securitate. Documentează prelucrarea în detaliu: ce date, de la cine, cum, unde, cât timp, pe ce temei, cu ce scop. Evaluează necesitatea și proporționalitatea. Identifică riscurile concrete, cu scenarii specifice. Propune măsuri tehnice, organizatorice și juridice. Reevaluează riscul rezidual. Obține semnătura DPO și a managementului. Planifică revizuirea periodică. Păstrează documentul accesibil pentru eventuale inspecții.
Nu e un proiect de luni de zile. Pentru o prelucrare de complexitate medie, un DPIA bine făcut poate fi finalizat în una-două săptămâni, dacă informațiile sunt disponibile și echipa cooperează. Ceea ce necesită investiție reală este obișnuința: integrarea DPIA în ciclul de dezvoltare al fiecărui proiect care implică date personale, ca pas standard, nu ca excepție.
Pentru consultanță în realizarea DPIA și conformitate GDPR, vizitați Infoshare Consulting. Platforma askGDPR oferă instrumente dedicate de conformitate. Pentru informații despre AI Act și cerințele specifice sistemelor de inteligență artificială, consultați aiact.ro. Pentru cerințele NIS 2 privind securitatea cibernetică, consultați nis2.ro.
