DPIA per al consentiment de galetes: quan els editors han de fer una avaluació d'impacte sobre la protecció de dades
La majoria dels editors pensen en l'avaluació d'impacte sobre la protecció de dades com una tasca de compliment per a algú altre — el delegat de protecció de dades, l'assessor jurídic extern, el rar projecte d'enginyeria que toca la biometria. En realitat, el GDPR requereix un DPIA per a un conjunt d'activitats molt més ampli del que la majoria dels operadors de tecnologia publicitària s'adonen, i molts fluxos de consentiment de galetes i publicitat conductual cauen de ple dins del detonant. La pregunta que ara fan els reguladors als editors en auditories i investigacions de queixes és directa: vau fer un DPIA abans de desplegar aquest seguiment i podeu mostrar-lo-nos? Aquesta guia explica quan un DPIA és obligatori, què ha de contenir i com produir-ne un que superi la revisió del regulador.
Què és un DPIA i per què existeix
L'avaluació d'impacte sobre la protecció de dades es defineix a l'article 35 del GDPR. És una anàlisi documentada que un responsable del tractament ha de realitzar abans de llançar qualsevol operació de tractament que probablement resulti en un alt risc per als drets i les llibertats de les persones físiques. El DPIA obliga el responsable del tractament a descriure el tractament, avaluar-ne la necessitat i proporcionalitat, identificar riscos i documentar les mesures adoptades per mitigar-los. Si el risc residual continua sent alt, el responsable del tractament ha de consultar l'autoritat de supervisió abans de posar-ho en marxa.
Per als editors, el DPIA no és un artefacte jurídic puntual. És el document central que un regulador sol·licitarà en investigar una queixa sobre galetes o seguiment, i és el document que determina si l'editor pot demostrar responsabilitat proactiva en virtut de l'Article 5(2). Sense ell, la càrrega de la prova es desplaça decisivament en contra vostre.
Quan un DPIA és obligatori per a fluxos de galetes i consentiment
L'Article 35(3) enumera tres detonants explícits del DPIA. Les directrius de l'Article 29 Working Party (ara adoptades per l'EDPB) afegeixen una llista de nou criteris indicatius. Una activitat de tractament que compleixi dos d'aquests criteris es presumeix que requereix un DPIA. Per als fluxos de galetes i tecnologia publicitària, els criteris més rellevants són:
- Avaluació sistemàtica i exhaustiva — inclosa l'elaboració de perfils per a publicitat i personalització de continguts.
- Tractament a gran escala — mesurat pel volum de dades, nombre de persones interessades, abast geogràfic i durada. Els llocs d'editors amb usuaris mensuals de set xifres gairebé sempre compleixen els requisits.
- Ús innovador de la tecnologia — cobreix la presa d'empremtes digitals, la identificació entre dispositius, l'aprenentatge federat, la mesura de l'atenció i la inferència conductual basada en IA.
- Seguiment de la ubicació o el comportament — directament capturat per la publicitat conductual i el retargeting.
- Combinació o coincidència de conjunts de dades — inclosos l'enriquiment del costat del servidor, els gràfics d'identitat, les sales netes de dades i la unió de plataformes de dades de clients.
Un lloc típic d'un editor de nivell mitjà que utilitza publicitat conductual i executa més d'uns quants píxels de tercers complirà almenys tres d'aquests criteris simultàniament. La presumpció que cal un DPIA és, a la pràctica, gairebé una certesa. Diverses autoritats nacionals de protecció de dades han publicat les seves pròpies llistes obligatòries de DPIA; el Garante italià, la CNIL francesa i el DSK alemany han anomenat la publicitat programàtica i l'elaboració de perfils entre llocs com a detonants predeterminats de DPIA.
Què ha de contenir el document DPIA
L'Article 35(7) estableix quatre continguts obligatoris. Un DPIA al qual en falti algun és tractat pels reguladors com si no s'hagués realitzat en absolut.
Una descripció sistemàtica del tractament
No és un resum d'un paràgraf. La descripció ha de cobrir cada categoria de dades personals tractades, cada finalitat, cada destinatari, cada període de conservació i cada transferència transfronterera. Per a un flux de tecnologia publicitària, això significa enumerar cada proveïdor a la vostra cadena TCF, les dades que rep cadascun i la base jurídica reclamada per a cadascun. Els editors que copien directament la llista de proveïdors de TCF v2.2 a l'apèndix del DPIA han produït documents funcionals; els que la resumeixen en dues frases no ho han fet.
Una avaluació de la necessitat i la proporcionalitat
La necessitat pregunta si es pot assolir la mateixa finalitat amb menys dades o amb dades no personals. Per a un flux de publicitat conductual, això significa abordar honestament si la publicitat contextual serviria la mateixa finalitat. L'EDPB Opinion 28/2024 és explícit que un DPIA no pot descartar la publicitat contextual en una sola línia — el responsable del tractament ha de demostrar que s'ha considerat l'alternativa i explicar per què es va rebutjar.
Una avaluació dels riscos per a les persones interessades
L'anàlisi de riscos ha de tenir en compte l'accés il·legal, la divulgació no autoritzada, l'alteració, la pèrdua i els riscos socials més amplis de l'elaboració de perfils — efectes inhibidors, discriminació, bloqueig. Per a cada risc identificat, l'avaluació ha d'indicar la probabilitat, la gravetat i el nivell residual després de les mitigacions.
Les mesures adoptades per abordar els riscos
Aquí és on la plataforma de gestió del consentiment apareix al DPIA. La captura granular del consentiment, la desactivació proveïdor per proveïdor, la retirada fàcil, els límits de conservació, el xifratge en trànsit i en repòs, les salvaguardes contractuals sobre els encarregats del tractament — cada mesura ha d'estar vinculada a un risc específic identificat. Una declaració genèrica que l'editor utilitza un CMP no és una mesura.
El paper del delegat de protecció de dades
L'Article 35(2) requereix que el responsable del tractament sol·liciti l'assessorament del DPO en realitzar un DPIA. Per als editors amb un DPO designat, això és senzill. Per als editors més petits sense DPO, el DPIA encara es pot realitzar, però s'ha de dur a terme amb assessorament extern documentat — assessor jurídic extern, consultor sectorial o l'equip de compliment d'un proveïdor de CMP. El paper del DPO és desafiar l'anàlisi de necessitat del responsable del tractament, no validar-lo mecànicament.
Quan es requereix consulta prèvia
L'Article 36 requereix la consulta prèvia amb l'autoritat de supervisió quan el DPIA mostra que el tractament resultaria en un alt risc que el responsable del tractament no pot mitigar. A la pràctica, això és rar per als fluxos de galetes i consentiment — la majoria dels riscos es poden mitigar mitjançant el consentiment granular, la reducció de proveïdors, els límits de conservació i les salvaguardes contractuals. Però no és zero. Dos casos que han desencadenat consulta prèvia el 2024 i el 2025: un identificador basat en empremtes digitals desplegat sense integració TCF, i un gràfic d'identitat entre dispositius que combinava dades de primera part amb intermediaris de dades de tercers. Els editors que exploren qualsevol dels dos patrons haurien de planificar un calendari de consulta de sis a dotze setmanes.
Com utilitzen els reguladors el DPIA en les investigacions
El DPIA és l'únic document que un regulador demana primer quan una queixa sobre galetes arriba a l'etapa d'investigació formal. El Garante italià, la CNIL francesa, l'APD belga i el BayLDA bavarès obren tots els seus expedients procedimentals amb una sol·licitud del DPIA que cobreix l'activitat en qüestió. De les decisions recents n'emergeixen tres patrons:
Els DPIAs produïts tardanament es descarten fortament
Un DPIA datat després de la sol·licitud del regulador no serà tractat com a evidència d'una avaluació prèvia al llançament. Diverses decisions del 2025 han assenyalat explícitament que el document va ser creat a posteriori i l'han ponderat en conseqüència. El DPIA ha de precedir el llançament del tractament, i les metadades del document o l'historial de versions ho hauria de deixar clar.
Els DPIAs genèrics es tracten com a absents
Un DPIA de plantilla copiat del portal d'un proveïdor de CMP sense anàlisi específica del lloc s'està rebutjant cada vegada més. La decisió del Garante del 2025 contra un grup editorial italià va citar sis dels nou llocs en l'àmbit i va constatar que un únic DPIA compartit que els cobria tots no satisfeia l'Article 35.
Les mesures de mitigació han de coincidir amb el que realment es desplega
Si el DPIA descriu una conservació de galetes de 60 dies però les galetes desplegades utilitzen una vida útil de 24 mesos, el regulador tractarà el DPIA com a inexacte. L'auditoria trimestral de la configuració desplegada respecte a la descripció del DPIA ja no és opcional.
Posant-ho tot junt
Per a la majoria dels editors, la resposta pràctica és la mateixa: cal un DPIA, s'ha de redactar abans que es llanci qualsevol nou seguiment, i s'ha de revisar trimestralment respecte a la configuració desplegada. El document no ha de ser llarg, però ha de ser específic del lloc, escrit abans del llançament, signat pel DPO o assessor extern documentat, i alineat amb el que realment s'executa en producció. Els editors que fan bé aquests quatre punts converteixen el DPIA d'una càrrega de compliment en la defensa més sòlida que tenen quan un regulador ve a preguntar.