Evaluarea impactului asupra protec\u021biei datelor (DPIA) este probabil cel mai discutat \u0219i cel mai prost \u00een\u021beles document din GDPR. Unii \u00eel trateaz\u0103 ca pe o formalitate birocratic\u0103 care se completeaz\u0103 retroactiv, dup\u0103 ce sistemul e deja live. Al\u021bii nici nu \u0219tiu c\u0103 trebuie s\u0103 \u00eel fac\u0103. \u00centre timp, autorit\u0103\u021bile de supraveghere \u00eel cer tot mai des \u00een investiga\u021bii, iar lipsa unui DPIA realizat corect poate costa p\u00e2n\u0103 la 20 de milioane de euro sau 4% din cifra de afaceri global\u0103.<\/p>\n
Articolul acesta nu e despre teorie. E un ghid pas cu pas, cu explica\u021bii concrete despre ce trebuie s\u0103 con\u021bin\u0103 un DPIA, c\u00e2nd trebuie f\u0103cut, cine \u00eel face, cum arat\u0103 procesul \u00een practic\u0103 \u0219i de ce managementul ar trebui s\u0103 \u00eel ia \u00een serios \u00eenainte s\u0103 ajung\u0103 pe biroul unui inspector ANSPDCP.<\/p>\n
DPIA este o analiz\u0103 sistematic\u0103 a unei activit\u0103\u021bi de prelucrare a datelor cu caracter personal care prezint\u0103 un risc ridicat pentru drepturile \u0219i libert\u0103\u021bile persoanelor fizice. Articolul 35 din GDPR cere ca aceast\u0103 analiz\u0103 s\u0103 fie realizat\u0103 \u00eenainte de \u00eenceperea prelucr\u0103rii, nu dup\u0103.<\/p>\n
Scopul nu e de a produce un document frumos. Scopul este de a identifica ce poate merge prost, c\u00e2t de grav, pentru cine, \u0219i ce m\u0103suri pot reduce acele riscuri la un nivel acceptabil. Dac\u0103 riscurile reziduale r\u0103m\u00e2n ridicate \u0219i dup\u0103 ce ai aplicat toate m\u0103surile rezonabile, art. 36 GDPR cere consultarea prealabil\u0103 a autorit\u0103\u021bii de supraveghere (\u00een Rom\u00e2nia, ANSPDCP<\/a>).<\/p>\n Un DPIA bine f\u0103cut face mai multe lucruri deodat\u0103: demonstreaz\u0103 conformitatea cu principiul responsabilit\u0103\u021bii (accountability), reduce riscul de sanc\u021biuni, ajut\u0103 la luarea unor decizii informate despre arhitectura sistemelor. Dar cel mai valoros efect este c\u0103 oblig\u0103 pe toat\u0103 lumea din organiza\u021bie s\u0103 se g\u00e2ndeasc\u0103 la protec\u021bia datelor \u00eenainte de a lansa un proiect, nu dup\u0103 ce incidentul s-a produs.<\/p>\n GDPR men\u021bioneaz\u0103 trei situa\u021bii \u00een care DPIA este obligatoriu: evaluarea sistematic\u0103 \u0219i extensiv\u0103 a aspectelor personale ale persoanelor fizice, inclusiv profilarea; prelucrarea pe scar\u0103 larg\u0103 a categoriilor speciale de date sau a datelor privind condamn\u0103ri penale; monitorizarea sistematic\u0103 pe scar\u0103 larg\u0103 a unui spa\u021biu accesibil publicului.<\/p>\n ANSPDCP a publicat o list\u0103 proprie<\/a> cu tipuri de prelucr\u0103ri care necesit\u0103 DPIA. Dac\u0103 prelucrarea se reg\u0103se\u0219te pe lista aceea, discu\u021bia se \u00eencheie: DPIA este obligatoriu. Dar chiar dac\u0103 nu apare explicit pe list\u0103, regula general\u0103 r\u0103m\u00e2ne: dac\u0103 prelucrarea este susceptibil\u0103 s\u0103 genereze un risc ridicat, trebuie f\u0103cut DPIA.<\/p>\n \u00cen practic\u0103, c\u00e2teva situa\u021bii frecvente care declan\u0219eaz\u0103 obliga\u021bia:<\/p>\n Implementarea unui sistem de supraveghere video \u00een spa\u021bii accesibile publicului. Introducerea unui instrument de AI care proceseaz\u0103 date personale pentru a lua decizii automate (aici intr\u0103 \u0219i cerin\u021bele AI Act<\/a>, care adaug\u0103 un strat suplimentar de obliga\u021bii pentru sistemele de inteligen\u021b\u0103 artificial\u0103 cu risc ridicat). Lansarea unei aplica\u021bii care colecteaz\u0103 date de s\u0103n\u0103tate. Externalizarea unor servicii care implic\u0103 transferul de date personale c\u0103tre un procesor din afara UE. Implementarea de sisteme biometrice de control acces. Monitorizarea performan\u021bei angaja\u021bilor prin instrumente digitale.<\/p>\n Dac\u0103 nu e\u0219ti sigur dac\u0103 activitatea de prelucrare necesit\u0103 DPIA, recomandarea WP29 (acum EDPB) este simpl\u0103: f\u0103-l oricum. Nu exist\u0103 sanc\u021biune pentru un DPIA realizat \u00een plus, dar exist\u0103 sanc\u021biune pentru unul care lipse\u0219te.<\/p>\n Responsabilitatea formal\u0103 apar\u021bine operatorului de date. \u00cen practic\u0103, DPIA se realizeaz\u0103 de o echip\u0103 care include pe DPO (dac\u0103 organiza\u021bia are desemnat unul), responsabilul de proiect sau sistem, reprezentan\u021bi IT\/securitate informa\u021bii \u0219i, unde e cazul, departamentul juridic.<\/p>\n DPO nu face DPIA singur. Rolul lui conform art. 35 alin. (2) GDPR este de a oferi consiliere \u0219i de a monitoriza procesul. Datele tehnice despre fluxurile de date, arhitectura sistemului \u0219i m\u0103surile de securitate vin de la echipa IT. Evaluarea contextului de business vine de la managementul de proiect. DPO integreaz\u0103 aceste informa\u021bii \u0219i verific\u0103 dac\u0103 analiza respect\u0103 cerin\u021bele legale.<\/p>\n Dac\u0103 organiza\u021bia nu are un DPO intern, poate apela la un DPO externalizat<\/a> care coordoneaz\u0103 procesul \u0219i se asigur\u0103 c\u0103 documentul final este complet \u0219i coerent.<\/p>\n Documenteaz\u0103 \u00een detaliu ce se \u00eent\u00e2mpl\u0103 cu datele. Nu \u00een termeni vagi, ci specific:<\/p>\n Ce date personale sunt colectate (nume, CNP, date de s\u0103n\u0103tate, date biometrice, localizare, comportament online). De la cine se colecteaz\u0103 (angaja\u021bi, clien\u021bi, pacien\u021bi, cet\u0103\u021beni). Care este sursa datelor (colectate direct, primite de la ter\u021bi, generate de sisteme). Cum circul\u0103 datele \u00een sistem (cine are acces, unde sunt stocate, dac\u0103 sunt transferate, cui). C\u00e2t timp se p\u0103streaz\u0103 \u0219i cum se \u0219terg. Care este temeiul juridic al prelucr\u0103rii (consim\u021b\u0103m\u00e2nt, interes legitim, obliga\u021bie legal\u0103, executarea unui contract). Care este scopul prelucr\u0103rii, formulat concret, nu generic.<\/p>\n Un DPIA care \u00eencepe cu \u201eproces\u0103m date personale \u00een scopuri de business” nu valoreaz\u0103 nimic. Unul care spune \u201eproces\u0103m datele de localizare GPS ale flotei de vehicule de serviciu, colectate la fiecare 30 de secunde, stocate 12 luni pe serverele furnizorului X din Germania, accesibile departamentului de logistic\u0103 \u0219i managerului de flot\u0103” permite o evaluare real\u0103 a riscurilor.<\/p>\n Aici r\u0103spunzi la \u00eentreb\u0103ri pe care mul\u021bi le ocolesc: chiar trebuie s\u0103 prelucrezi aceste date? Po\u021bi ob\u021bine acela\u0219i rezultat cu mai pu\u021bine date sau cu date mai pu\u021bin sensibile? Ai ales cel mai pu\u021bin intruziv mijloc de prelucrare?<\/p>\n Principiul minimiz\u0103rii datelor (art. 5 alin. (1) lit. c GDPR) nu e un ideal abstract. Este o cerin\u021b\u0103 legal\u0103 verificabil\u0103. Dac\u0103 colectezi CNP-ul pentru un program de fidelizare, evaluarea de necesitate va e\u0219ua. Dac\u0103 instalezi camere video cu recunoa\u0219tere facial\u0103 \u00eentr-un birou unde un simplu sistem de carduri ar fi suficient, propor\u021bionalitatea nu se justific\u0103.<\/p>\n Trebuie verificat \u0219i dac\u0103 scopul prelucr\u0103rii este suficient de clar definit, dac\u0103 informarea persoanelor vizate este complet\u0103 \u0219i accesibil\u0103, dac\u0103 exist\u0103 mecanisme efective de exercitare a drepturilor (acces, rectificare, \u0219tergere, portabilitate), dac\u0103 rela\u021bia cu procesatorii de date este reglementat\u0103 corect (acorduri de prelucrare conforme art. 28 GDPR).<\/p>\n Aceasta este partea pe care majoritatea organiza\u021biilor o fac superficial. Riscul nu se evalueaz\u0103 \u00eentr-un tabel generic cu \u201eprobabilitate: medie, impact: mediu” pentru tot. Fiecare risc trebuie legat de un scenariu concret.<\/p>\n C\u00e2teva categorii de riscuri de analizat:<\/p>\n Accesul neautorizat la date (cine ar putea accesa datele f\u0103r\u0103 drept \u0219i prin ce vector: atac extern, eroare intern\u0103, furnizor compromis). Pierderea sau distrugerea datelor (ce se \u00eent\u00e2mpl\u0103 dac\u0103 serverul cade, dac\u0103 backup-ul e corupt, dac\u0103 furnizorul cloud \u00eenceteaz\u0103 activitatea). Utilizarea datelor \u00een scopuri incompatibile (datele colectate pentru un scop ajung folosite pentru altceva, f\u0103r\u0103 temei juridic). Discriminare sau prejudicii pentru persoanele vizate (un algoritm de scoring care defavorizeaz\u0103 sistematic anumite categorii de persoane). Imposibilitatea exercit\u0103rii drepturilor (persoana vizat\u0103 nu poate ob\u021bine \u0219tergerea sau rectificarea datelor din cauza arhitecturii sistemului). Bre\u0219e de securitate (date exfiltrate, ransomware, scurgeri accidentale).<\/p>\n \u00cen contextul sistemelor de AI, evaluarea riscurilor devine mai complex\u0103. AI Act<\/a> clasific\u0103 sistemele AI \u00een func\u021bie de nivel de risc \u0219i impune obliga\u021bii suplimentare de transparen\u021b\u0103, supraveghere uman\u0103 \u0219i documenta\u021bie tehnic\u0103 pentru sistemele cu risc ridicat. Dac\u0103 prelucrarea implic\u0103 un sistem AI, DPIA trebuie s\u0103 integreze \u0219i aceste cerin\u021be.<\/p>\n Riscurile de securitate cibernetic\u0103 se evalueaz\u0103 \u00een corelare cu cerin\u021bele NIS 2<\/a>, care impune m\u0103suri de gestionare a riscurilor pentru entit\u0103\u021bile esen\u021biale \u0219i importante, inclusiv securitatea lan\u021bului de aprovizionare, gestionarea incidentelor \u0219i continuitatea activit\u0103\u021bii.<\/p>\n Pentru fiecare risc identificat, estimeaz\u0103 probabilitatea de producere \u0219i gravitatea impactului asupra persoanelor vizate (nu asupra organiza\u021biei, ci asupra oamenilor ale c\u0103ror date sunt prelucrate).<\/p>\n Pentru fiecare risc, documenteaz\u0103 ce m\u0103suri se aplic\u0103 sau se vor aplica pentru a-l reduce. M\u0103surile pot fi tehnice, organizatorice sau juridice:<\/p>\n M\u0103suri tehnice: criptarea datelor \u00een tranzit \u0219i \u00een repaus, controlul accesului bazat pe roluri, autentificare multi-factor, pseudonimizarea sau anonimizarea datelor acolo unde e posibil, logging \u0219i monitorizare, backup \u0219i proceduri de disaster recovery, segmentarea re\u021belei. \u00centrebarea cheie nu e \u201eavem criptare?” ci \u201edatele X, stocate pe serverul Y, administrat de furnizorul Z, sunt criptate cu ce standard, cheia de criptare cine o de\u021bine \u0219i cum se gestioneaz\u0103?”<\/p>\n M\u0103suri organizatorice: politici de acces clar definite, proceduri de r\u0103spuns la incidente, training periodic pentru angaja\u021bii care lucreaz\u0103 cu datele, proceduri de \u0219tergere la expirarea perioadei de reten\u021bie, audituri periodice.<\/p>\n M\u0103suri juridice: acorduri de prelucrare conforme art. 28 GDPR cu to\u021bi procesatorii, clauze contractuale standard sau alte mecanisme de transfer pentru datele transferate \u00een afara SEE, informare complet\u0103 a persoanelor vizate (privacy notice), mecanisme documentate de ob\u021binere \u0219i gestionare a consim\u021b\u0103m\u00e2ntului (acolo unde consim\u021b\u0103m\u00e2ntul este temeiul juridic).<\/p>\n Dup\u0103 aplicarea m\u0103surilor, reevalueaz\u0103 riscul rezidual. Dac\u0103 riscul r\u0103m\u00e2ne ridicat, ai trei op\u021biuni: adaugi m\u0103suri suplimentare, renun\u021bi la prelucrare sau consul\u021bi ANSPDCP conform art. 36 GDPR.<\/p>\n DPIA se documenteaz\u0103 \u00eentr-un format structurat. Nu exist\u0103 un template obligatoriu impus de GDPR, dar documentul trebuie s\u0103 con\u021bin\u0103 cel pu\u021bin elementele cerute de art. 35 alin. (7): descrierea sistematic\u0103 a prelucr\u0103rii, evaluarea necesit\u0103\u021bii \u0219i propor\u021bionalit\u0103\u021bii, evaluarea riscurilor \u0219i m\u0103surile prev\u0103zute.<\/p>\n Documentul se semneaz\u0103 de responsabilul de proiect, de DPO (care consemneaz\u0103 avizul s\u0103u) \u0219i, \u00een mod ideal, de un reprezentant al managementului. Aceast\u0103 ultim\u0103 semn\u0103tur\u0103 conteaz\u0103 mai mult dec\u00e2t pare: ea demonstreaz\u0103 c\u0103 managementul a luat cuno\u0219tin\u021b\u0103 de riscuri \u0219i a aprobat m\u0103surile propuse. \u00cen caz de incident, diferen\u021ba \u00eentre \u201emanagementul a fost informat” \u0219i \u201emanagementul nu \u0219tia” este semnificativ\u0103.<\/p>\n Un DPIA nu este un document pe care \u00eel faci o dat\u0103 \u0219i \u00eel ui\u021bi \u00eentr-un sertar. Art. 35 alin. (11) GDPR cere revizuirea DPIA \u201ecel pu\u021bin atunci c\u00e2nd riscul prelucr\u0103rii se schimb\u0103”.<\/p>\n Ce schimb\u0103ri declan\u0219eaz\u0103 o revizuire: modificarea scopului prelucr\u0103rii, ad\u0103ugarea de noi categorii de date, schimbarea furnizorilor sau a procesatorilor, actualiz\u0103ri ale sistemelor care modific\u0103 fluxurile de date, incidente de securitate legate de prelucrarea respectiv\u0103, modific\u0103ri legislative relevante (de exemplu intrarea \u00een vigoare a unor prevederi din AI Act sau transpunerea NIS 2 \u00een legisla\u021bia na\u021bional\u0103).<\/p>\n Recomandarea practic\u0103 este revizuirea DPIA cel pu\u021bin anual, chiar dac\u0103 nu au intervenit schimb\u0103ri vizibile. Mediul tehnic \u0219i cel legislativ se modific\u0103 suficient de rapid \u00eenc\u00e2t o analiz\u0103 veche de doi ani e aproape sigur dep\u0103\u0219it\u0103.<\/p>\n Aici e partea pe care mul\u021bi DPO o evit\u0103, de\u0219i nu ar trebui.<\/p>\n DPIA nu e o problem\u0103 a departamentului de conformitate. E o problem\u0103 de management. Articolul 35 GDPR pune obliga\u021bia pe operator, adic\u0103 pe organiza\u021bie, adic\u0103 pe cei care o conduc. Dac\u0103 DPIA lipse\u0219te sau e f\u0103cut superficial, r\u0103spunderea nu cade pe DPO, ci pe management.<\/p>\n Sanc\u021biunile financiare sunt reale. \u00cen 2025, amenzile GDPR la nivel european au dep\u0103\u0219it cumulativ 3 miliarde de euro. ANSPDCP a aplicat sanc\u021biuni \u00een Rom\u00e2nia pentru lipsa inform\u0103rii persoanelor vizate, prelucr\u0103ri f\u0103r\u0103 temei juridic, \u00eenc\u0103lc\u0103ri ale drepturilor persoanelor vizate \u0219i deficien\u021be de securitate. Absen\u021ba DPIA este o circumstan\u021b\u0103 agravant\u0103 \u00een orice investiga\u021bie, pentru c\u0103 demonstreaz\u0103 c\u0103 organiza\u021bia nu a evaluat riscurile prelucr\u0103rii.<\/p>\n Dar sanc\u021biunile financiare nu sunt singura problem\u0103. Autorit\u0103\u021bile pot interzice temporar prelucrarea p\u00e2n\u0103 la remedierea deficien\u021belor. Pentru o companie care depinde de prelucrarea datelor pentru opera\u021biunile curente, o suspendare poate fi mai costisitoare dec\u00e2t amenda.<\/p>\n Dincolo de amenzi, exist\u0103 un argument pe care directorii financiari \u00eel \u00een\u021beleg imediat: DPIA f\u0103cut serios evit\u0103 cheltuieli mult mai mari pe termen lung. Un DPIA realizat \u00een faza de proiect permite modificarea arhitecturii \u00eenainte de implementare, ceea ce cost\u0103 o frac\u021biune din ce cost\u0103 modificarea dup\u0103 lansare. Un DPIA f\u0103cut post-factum descoper\u0103 probleme pe care nu le mai po\u021bi remedia f\u0103r\u0103 refacerea sistemului.<\/p>\n Mesajul pe care DPO trebuie s\u0103 \u00eel transmit\u0103 managementului, oric\u00e2t de inconfortabil ar fi: DPIA se face \u00eenainte de lansare, nu dup\u0103. DPO coordoneaz\u0103 procesul dar are nevoie de resurse \u0219i de acces la informa\u021bii tehnice. Iar semn\u0103tura managementului pe document \u00eenseamn\u0103 asumare, nu bif\u0103.<\/p>\n DPIA nu exist\u0103 izolat. \u00cen 2026, o prelucrare de date cu risc ridicat poate intra simultan sub inciden\u021ba GDPR, a AI Act \u0219i a NIS 2.<\/p>\n AI Act<\/a> cere furnizorilor de sisteme AI cu risc ridicat s\u0103 realizeze evalu\u0103ri de conformitate care includ elemente comune cu DPIA: documenta\u021bie tehnic\u0103, evaluarea riscurilor, m\u0103suri de atenuare, supraveghere uman\u0103. Dac\u0103 organiza\u021bia folose\u0219te un sistem AI care prelucreaz\u0103 date personale, DPIA trebuie s\u0103 integreze cerin\u021bele ambelor reglement\u0103ri \u00eentr-un singur document coerent. Dac\u0103 se fac separat, se dubleaz\u0103 efortul \u0219i se pierde din coeren\u021b\u0103.<\/p>\n NIS 2<\/a> impune entit\u0103\u021bilor esen\u021biale \u0219i importante obliga\u021bii de gestionare a riscurilor de securitate cibernetic\u0103, raportare de incidente \u0219i securitate a lan\u021bului de aprovizionare. M\u0103surile tehnice de securitate documentate \u00een DPIA trebuie s\u0103 fie corelate cu cerin\u021bele NIS 2. Un DPIA care spune \u201edatele sunt criptate” f\u0103r\u0103 s\u0103 specifice standardul de criptare, gestionarea cheilor \u0219i procedura de r\u0103spuns la incidente nu satisface cerin\u021bele niciuneia dintre cele dou\u0103 reglement\u0103ri.<\/p>\n Platforma askGDPR<\/a> ofer\u0103 instrumente de conformitate care pot facilita acest proces de integrare, iar echipa Infoshare Consulting<\/a> ofer\u0103 servicii de consultan\u021b\u0103 \u0219i DPO externalizat care acoper\u0103 \u00eentregul spectru: GDPR, NIS 2, AI Act, ISO 27001 \u0219i DORA.<\/p>\n DPIA realizat dup\u0103 lansarea sistemului. La momentul acela nu mai e evaluare de impact, e constatare de daune. \u00centregul scop al DPIA este de a permite ajust\u0103ri \u00een faza de proiectare.<\/p>\n Descrieri vagi ale prelucr\u0103rii. \u201ePrelucr\u0103m date personale ale clien\u021bilor” nu e o descriere. F\u0103r\u0103 detalii concrete despre ce date, de la cine, prin ce sisteme, c\u0103tre cine \u0219i pentru ce, evaluarea riscurilor devine un exerci\u021biu de imagina\u021bie.<\/p>\n Riscuri evaluate generic. Un tabel cu \u201eprobabilitate medie, impact mediu” pentru toate riscurile arat\u0103 c\u0103 nimeni nu s-a g\u00e2ndit serios la scenariile concrete.<\/p>\n M\u0103suri de atenuare care nu exist\u0103 \u00een practic\u0103. DPIA spune \u201eavem procedur\u0103 de \u0219tergere a datelor” dar nimeni nu o aplic\u0103. DPIA spune \u201eaccesul e restric\u021bionat” dar toat\u0103 lumea din departament are acces la tot.<\/p>\n Lipsa revizuirii. DPIA f\u0103cut \u00een 2020 pentru un sistem care de atunci a fost modificat de trei ori nu mai reflect\u0103 realitatea.<\/p>\n DPO exclus din proces. Se cere DPO-ului s\u0103 semneze un DPIA pe care nu l-a v\u0103zut p\u00e2n\u0103 \u00een ultima zi, f\u0103r\u0103 acces la informa\u021biile tehnice necesare.<\/p>\n Dac\u0103 e\u0219ti DPO sau compliance officer \u0219i trebuie s\u0103 faci un DPIA s\u0103pt\u0103m\u00e2na viitoare, iat\u0103 secven\u021ba:<\/p>\n Verific\u0103 dac\u0103 prelucrarea necesit\u0103 DPIA (lista ANSPDCP, criteriile art. 35, ghidul EDPB). Adun\u0103 echipa: IT, business, juridic, securitate. Documenteaz\u0103 prelucrarea \u00een detaliu: ce date, de la cine, cum, unde, c\u00e2t timp, pe ce temei, cu ce scop. Evalueaz\u0103 necesitatea \u0219i propor\u021bionalitatea. Identific\u0103 riscurile concrete, cu scenarii specifice. Propune m\u0103suri tehnice, organizatorice \u0219i juridice. Reevalueaz\u0103 riscul rezidual. Ob\u021bine semn\u0103tura DPO \u0219i a managementului. Planific\u0103 revizuirea periodic\u0103. P\u0103streaz\u0103 documentul accesibil pentru eventuale inspec\u021bii.<\/p>\n Nu e un proiect de luni de zile. Pentru o prelucrare de complexitate medie, un DPIA bine f\u0103cut poate fi finalizat \u00een una-dou\u0103 s\u0103pt\u0103m\u00e2ni, dac\u0103 informa\u021biile sunt disponibile \u0219i echipa coopereaz\u0103. Ceea ce necesit\u0103 investi\u021bie real\u0103 este obi\u0219nuin\u021ba: integrarea DPIA \u00een ciclul de dezvoltare al fiec\u0103rui proiect care implic\u0103 date personale, ca pas standard, nu ca excep\u021bie.<\/p>\n Pentru consultan\u021b\u0103 \u00een realizarea DPIA \u0219i conformitate GDPR, vizita\u021bi Infoshare Consulting<\/a>. Platforma askGDPR<\/a> ofer\u0103 instrumente dedicate de conformitate. Pentru informa\u021bii despre AI Act \u0219i cerin\u021bele specifice sistemelor de inteligen\u021b\u0103 artificial\u0103, consulta\u021bi aiact.ro<\/a>. Pentru cerin\u021bele NIS 2 privind securitatea cibernetic\u0103, consulta\u021bi nis2.ro<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Evaluarea impactului asupra protec\u021biei datelor (DPIA) este probabil cel mai discutat \u0219i cel mai prost \u00een\u021beles document din GDPR. Unii \u00eel trateaz\u0103 ca pe o formalitate birocratic\u0103 care se completeaz\u0103 retroactiv, dup\u0103 ce sistemul e deja live. Al\u021bii nici nu \u0219tiu c\u0103 trebuie s\u0103 \u00eel fac\u0103. \u00centre timp, autorit\u0103\u021bile de supraveghere \u00eel cer tot mai […]<\/p>\n","protected":false},"author":1,"featured_media":579,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[22],"tags":[],"class_list":["post-578","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-security"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/posts\/578","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/comments?post=578"}],"version-history":[{"count":1,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/posts\/578\/revisions"}],"predecessor-version":[{"id":580,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/posts\/578\/revisions\/580"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/media\/579"}],"wp:attachment":[{"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/media?parent=578"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/categories?post=578"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/adriana.ro\/index.php\/wp-json\/wp\/v2\/tags?post=578"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}C\u00e2nd trebuie f\u0103cut un DPIA<\/h2>\n
Cine face DPIA<\/h2>\n
Pa\u0219ii concre\u021bi ai unui DPIA<\/h2>\n
Pasul 1: Descrierea prelucr\u0103rii<\/h3>\n
Pasul 2: Evaluarea necesit\u0103\u021bii \u0219i propor\u021bionalit\u0103\u021bii<\/h3>\n
Pasul 3: Identificarea \u0219i evaluarea riscurilor<\/h3>\n
Pasul 4: M\u0103suri de atenuare<\/h3>\n
Pasul 5: Documentare \u0219i aprobare<\/h3>\n
Pasul 6: Monitorizare \u0219i revizuire<\/h3>\n
De ce managementul trebuie s\u0103 ia DPIA \u00een serios<\/h2>\n
Leg\u0103tura cu alte cadre de reglementare<\/h2>\n
Gre\u0219eli frecvente<\/h2>\n
Lista scurt\u0103<\/h2>\n
\n