dataconsulting.ro
Inapoi la blog
GDPR 28 mai 2026 8 min

DPIA — Evaluare impact protectia datelor (Art. 35 GDPR)

Echipa GLOBAL DATA PROTECTION SRL·Specialist protectia datelor

DPIA (Data Protection Impact Assessment / Evaluarea Impactului asupra Protectiei Datelor) este una dintre cele mai importante obligatii operationale impuse de GDPR. Cand o firma intentioneaza o prelucrare ce ridica risc semnificativ pentru drepturile persoanelor fizice, DPIA nu este optionala — este obligatorie conform Art. 35 GDPR, iar ANSPDCP a publicat o lista oficiala cu tipurile de prelucrari care o cer.

Ce este o DPIA si care este baza legala

DPIA este o analiza structurata, documentata in scris, a riscurilor pe care le poate genera o prelucrare de date personale pentru drepturile si libertatile persoanelor vizate. Scopul: identificarea riscurilor inainte de inceperea prelucrarii si implementarea masurilor de atenuare.

Baza legala este articolul 35 GDPR (Regulamentul UE 679/2016), completat de articolul 36 (consultarea prealabila ANSPDCP). In Romania, ANSPDCP a publicat in 2018 lista oficiala cu prelucrarile pentru care DPIA este obligatorie — un document de referinta pentru orice DPO sau ofiter de conformitate.

Cand este obligatorie o DPIA — lista ANSPDCP

Conform listei publicate de ANSPDCP, DPIA este obligatorie pentru:

  • Evaluare sistematica si pe scara larga a aspectelor personale

    Scoring de credit, profilare clienti, sisteme de evaluare a performantei, recomandari personalizate bazate pe comportament.

  • Prelucrare pe scara larga a categoriilor speciale de date

    Date privind sanatatea (spitale, clinici, laboratoare), biometrice (amprenta, recunoastere faciala), judiciare (firme de paza, recrutare).

  • Monitorizare sistematica a unei zone publice

    CCTV in zone publice sau accesibile publicului, sisteme de monitorizare a traficului, urmarirea persoanelor in spatii deschise.

  • Prelucrari ce folosesc tehnologii noi

    Sisteme AI (inclusiv ChatGPT/Copilot pentru decizii cu impact), IoT, blockchain, biometrie comportamentala, neurotehnologie.

  • Transferuri internationale fara decizie de adecvare

    Transferuri de date catre tari care nu au decizie de adecvare a Comisiei Europene si fara garantii adecvate suplimentare.

  • Decizii automate cu efect juridic

    Prelucrari prin care se iau automat decizii cu efect juridic semnificativ asupra persoanei: acordare/respingere credit, recrutare, asigurari.

  • Date prelucrate pe scara larga in scopuri de marketing

    Liste de abonati si potentiali clienti de dimensiuni mari, campanii de targetare comportamentala, profiluri publicitare.

Procesul DPIA pas cu pas

O DPIA conforma urmeaza cinci etape, in ordinea stricta:

  1. 1
    Descrierea sistematica a prelucrarii

    Scopul prelucrarii, categoriile de date colectate, categoriile de persoane vizate, destinatarii, perioada de pastrare, transferuri internationale, sistemul tehnic utilizat. Acesta este fundamentul: o descriere incompleta vicieaza intregul proces.

  2. 2
    Evaluarea necesitatii si proportionalitatii

    Este prelucrarea cu adevarat necesara pentru scopul declarat? Datele colectate sunt minimale (principiul minimizarii)? Exista alternative mai putin intruzive care ar atinge acelasi scop? Aceste intrebari trebuie raspunse documentat.

  3. 3
    Identificarea si evaluarea riscurilor

    Pentru fiecare risc identificat: probabilitatea (mica, medie, mare), severitatea impactului (minor, moderat, sever), categoria de persoane afectate. Riscuri tipice: acces neautorizat, modificare neautorizata, pierdere, divulgare, discriminare.

  4. 4
    Identificarea masurilor de atenuare

    Masuri tehnice (criptare, pseudonimizare, controlul accesului, logging) si organizatorice (politici, training, audit periodic). Pentru fiecare risc identificat — o masura sau o combinatie de masuri ce reduce probabilitatea sau severitatea.

  5. 5
    Consultare ANSPDCP daca este cazul

    Daca dupa aplicarea masurilor riscul ridicat persista, este obligatorie consultarea prealabila a ANSPDCP conform Art. 36 GDPR. Termen de raspuns: 8 saptamani, prelungibil cu 6 saptamani. Operatorul nu poate incepe prelucrarea pana la primirea raspunsului.

DPO-ul (intern sau externalizat) trebuie consultat in toate etapele procesului si avizul sau scris trebuie pastrat in dosarul DPIA.

DPIA si AI Act — cum se intersecteaza

EU AI Act (Regulamentul UE 2024/1689) introduce o evaluare similara, dar distincta: FRIA (Fundamental Rights Impact Assessment), prevazuta la Art. 27 pentru deployerii de sisteme AI de risc ridicat.

Diferenta cheie: DPIA evalueaza riscuri pentru protectia datelor personale; FRIA evalueaza riscuri pentru intregul spectru de drepturi fundamentale (nediscriminare, libertate de expresie, demnitate, etc.). Cand un sistem AI prelucreaza si date personale, ambele evaluari sunt obligatorii si pot fi integrate intr-un proces unic.

Exemplu concret: un sistem AI de recrutare (Anexa III AI Act) care prelucreaza CV-uri cu date personale necesita atat DPIA (GDPR Art. 35), cat si FRIA (AI Act Art. 27). Realizarea separata duplica efortul si poate genera contradictii — abordarea integrata este recomandata.

Greseli frecvente la realizarea unei DPIA

  • DPIA realizata dupa demararea prelucrarii

    Eroarea cea mai grava. DPIA trebuie facuta inainte de inceperea prelucrarii. Realizata ulterior nu mai indeplineste scopul preventiv si poate fi considerata insuficienta in caz de control ANSPDCP.

  • Descrierea prelucrarii incompleta

    Lipsa unor categorii de date, omiterea destinatarilor (subprocesori, terti), perioada de pastrare ambigua. Descrierea trebuie sa fie atat de detaliata incat un evaluator extern sa inteleaga complet operatiunea.

  • Evaluare formala fara analiza reala

    Bifarea unor casute fara analiza reala a riscurilor — DPIA template-uri folosite fara adaptare la contextul concret al firmei. ANSPDCP a respins explicit DPIA-uri formale in controale.

  • Lipsa consultarii DPO

    DPO trebuie sa fie consultat in tot procesul si avizul sau pastrat. Lipsa avizului DPO este un indicator de neconformitate.

  • Nerealizarea consultarii prealabile ANSPDCP cand era obligatorie

    Daca DPIA arata risc ridicat ce nu poate fi atenuat, consultarea ANSPDCP este obligatorie. Demararea prelucrarii fara consultare este sanctionabila separat.

  • Lipsa revizuirii periodice

    DPIA nu este un document static. Trebuie revizuita cand se schimba prelucrarea, tehnologia utilizata sau contextul juridic (exemplu: introducerea AI Act in 2025-2027).

Cand sa apelezi la consultanta externa pentru DPIA

DPIA poate fi realizata intern daca firma are un DPO calificat si experienta in evaluari de risc. Pentru majoritatea firmelor mici si medii, realizarea unei DPIA conforme presupune expertiza specializata, iar consultanta externa este mai eficienta decat investitia in formarea unui specialist intern pentru o evaluare ocazionala.

GLOBAL DATA PROTECTION SRL (dataconsulting.ro) realizeaza DPIA-uri complete cu certificare CIPP/E si experienta in sectoare diverse: sanatate, financiar, retail, productie, IT. Pentru contextul complet al obligatiilor GDPR ce stau la baza DPIA, vedeti articolul nostru despre GDPR si protectia datelor pentru orice firma.

Intrebari frecvente despre DPIA

Ce este o DPIA si cand este obligatorie?

DPIA este o analiza structurata a riscurilor pentru drepturile persoanelor fizice, ceruta de Art. 35 GDPR cand prelucrarea genereaza risc ridicat. ANSPDCP a publicat lista oficiala cu prelucrarile care o cer in Romania.

Care sunt situatiile in care DPIA este obligatorie in Romania?

Profilare/scoring pe scara larga; date speciale (sanatate, biometrice); CCTV public; tehnologii noi (AI, IoT, blockchain); transferuri internationale fara adecvare; decizii automate cu efect juridic; marketing pe scara larga.

Care sunt etapele unei DPIA conforme?

Cinci etape: descriere sistematica a prelucrarii, evaluare necesitate si proportionalitate, identificare si evaluare riscuri, masuri de atenuare, consultare ANSPDCP daca riscul ridicat nu poate fi atenuat. DPO trebuie consultat in tot procesul.

AI Act cere si el DPIA pentru sistemele AI?

AI Act introduce FRIA (Fundamental Rights Impact Assessment, Art. 27) pentru deployerii de sisteme AI de risc ridicat. Cand sistemul AI prelucreaza si date personale, atat DPIA cat si FRIA sunt necesare si pot fi integrate.

Ce se intampla daca DPIA arata risc ridicat ce nu poate fi atenuat?

Conform Art. 36 GDPR, este obligatorie consultarea prealabila a ANSPDCP. Termen de raspuns: 8 saptamani (prelungibil cu 6). Daca recomandarea este negativa, prelucrarea nu poate fi initiata legal.

Aveti nevoie de o DPIA pentru un proiect concret?

Realizam DPIA-uri complete conform Art. 35 GDPR, integrate cu FRIA (AI Act Art. 27) cand este cazul. Documentatie completa, gata de prezentat in caz de control ANSPDCP. Solicitati o oferta personalizata pe baza unei discutii initiale gratuite.

Solicita oferta DPIA Servicii GDPRConsultanta AI Act
← Inapoi la toate articolele