DPIA para o consentimento de cookies: cando os editores deben realizar unha avaliación de impacto da protección de datos
A maioría dos editores consideran a avaliación de impacto da protección de datos como unha tarefa de cumprimento para outra persoa: o responsable de protección de datos, asesoría externa, o raro proxecto de enxeñaría que involucra biometría. En realidade, o GDPR esixe unha DPIA para un conxunto de actividades moito máis amplo do que a maioría dos operadores de adtech entenden, e moitos fluxos de consentimento de cookies e publicidade comportamental caen de cheo dentro do detonante. A pregunta que os reguladores fan agora aos editores en auditorías e investigacións de reclamacións é directa: fixeches unha DPIA antes de implantar este rastrexo e podes amosárnosla? Esta guía explica cando é obrigatoria a DPIA, o que debe conter e como elaborar unha que supere a revisión regulatoria.
Que é unha DPIA e por que existe
A avaliación de impacto da protección de datos está definida no artigo 35 do GDPR. É unha análise documentada que o responsable do tratamento debe realizar antes de iniciar calquera operación de tratamento que sexa susceptible de xerar un risco elevado para os dereitos e liberdades das persoas físicas. A DPIA obriga ao responsable do tratamento a describir o tratamento, avaliar a súa necesidade e proporcionalidade, identificar os riscos e documentar as medidas adoptadas para mitigalos. Se o risco residual segue a ser elevado, o responsable do tratamento debe consultar á autoridade de supervisión antes de poñer en marcha o tratamento.
Para os editores, a DPIA non é un artefacto xurídico puntual. É o documento central que solicitará un regulador cando investigue unha reclamación sobre cookies ou rastrexo, e é o documento que determina se o editor pode demostrar a responsabilidade ao abeiro do artigo 5(2). Sen ela, a carga da proba desprazase decisivamente en contra de ti.
Cando é obrigatoria a DPIA para os fluxos de cookies e consentimento
O artigo 35(3) enumera tres detonantes explícitos da DPIA. As directrices do grupo de traballo do artigo 29 (agora adoptadas polo EDPB) engaden unha lista de nove criterios indicativos. Presumirase que unha actividade de tratamento que cumpra dous calquera deses criterios require unha DPIA. Para os fluxos de cookies e adtech os criterios máis relevantes son:
- Avaliación sistemática e exhaustiva — incluíndo a elaboración de perfís para publicidade e personalización de contidos.
- Tratamento a gran escala — medido polo volume de datos, o número de interesados, a extensión xeográfica e a duración. Os sitios de editores con usuarios mensuais de sete cifras case sempre se cualifican.
- Uso innovador da tecnoloxía — abarca a toma de impresión dixital, a identificación entre dispositivos, a aprendizaxe federada, a medición da atención, a inferencia comportamental baseada en IA.
- Rastrexo de localización ou comportamento — cuberto directamente pola publicidade comportamental e o retargeting.
- Combinación ou conciliación de conxuntos de datos — incluíndo o enriquecemento no lado do servidor, os grafos de identidade, as salas de limpeza de datos, o cosido de plataformas de datos de clientes.
Un sitio de editor de nivel medio típico que utiliza publicidade comportamental e executa máis que uns poucos píxeles de terceiros cumprirá polo menos tres destes criterios simultaneamente. A presunción de que se require unha DPIA é, na práctica, case unha certeza. Varios DPA nacionais publicaron as súas propias listas de DPIA obrigatorias; o italiano Garante, o francés CNIL e o alemán DSK designaron todos a publicidade programática e a elaboración de perfís entre sitios como detonantes predeterminados da DPIA.
O que debe conter o documento DPIA
O artigo 35(7) establece catro contidos obrigatorios. Unha DPIA á que lle falte calquera deles é tratada polos reguladores como se non se realizara en absoluto.
Unha descrición sistemática do tratamento
Non é un resumo dun só parágrafo. A descrición debe abarcar cada categoría de datos persoais tratados, cada finalidade, cada destinatario, cada período de retención e cada transferencia transfronteiriza. Para un fluxo de adtech isto significa enumerar cada proveedor da túa cadea TCF, os datos que cada un recibe e a base xurídica reclamada para cada un. Os editores que copian directamente a lista de provedores de TCF v2.2 no apéndice da DPIA produciron documentos utilizables; os que a resumen en dúas frases non.
Unha avaliación da necesidade e proporcionalidade
A necesidade pregunta se o mesmo obxectivo pódese lograr con menos datos ou con datos non persoais. Para un fluxo de publicidade comportamental isto significa abordar honestamente se a publicidade contextual serviría ao mesmo propósito. O EDPB Opinion 28/2024 é explícito en que unha DPIA non pode descartar a publicidade contextual nunha soa liña: o responsable do tratamento debe demostrar que se considerou a alternativa e explicar por que se rexeitou.
Unha avaliación dos riscos para os interesados
A análise de risco debe considerar o acceso ilícito, a divulgación non autorizada, a alteración, a perda e os riscos sociais máis amplos da elaboración de perfís: efectos disuasorios, discriminación, retención. Para cada risco identificado, a avaliación debe indicar a probabilidade, a gravidade e o nivel residual tras as mitigacións.
As medidas adoptadas para facer fronte aos riscos
Aquí é onde a plataforma de xestión do consentimento aparece na DPIA. Captura granular do consentimento, exclusión voluntaria por proveedor, retirada sinxela, límites de retención, cifrado en tránsito e en repouso, salvagardas contractuais nos procesadores de datos: cada medida debe estar vinculada a un risco identificado específico. Unha declaración xenérica de que o editor utiliza un CMP non é unha medida.
O papel do responsable de protección de datos
O artigo 35(2) require que o responsable do tratamento solicite o asesoramento do DPO ao realizar unha DPIA. Para os editores cun DPO designado isto é sinxelo. Para os editores máis pequenos sen un, a DPIA pode realizarse igualmente, pero debe facerse con asesoramento externo documentado: asesoría xurídica externa, un consultor sectorial ou o equipo de cumprimento dun proveedor de CMP. O papel do DPO é cuestionar a análise de necesidade do responsable do tratamento, non validala automáticamente.
Cando é necesaria a consulta previa
O artigo 36 require a consulta previa coa autoridade de supervisión cando a DPIA mostra que o tratamento resultaría nun risco elevado que o responsable do tratamento non pode mitigar. Na práctica, isto é infrecuente para os fluxos de cookies e consentimento: a maioría dos riscos pódense mitigar mediante consentimento granular, redución de provedores, límites de retención e salvagardas contractuais. Pero non é cero. Dous casos que activaron a consulta previa en 2024 e 2025: un identificador baseado en fingerprinting despregado sen integración TCF, e un grafo de identidade entre dispositivos que combinaba datos propios con intermediarios de datos de terceiros. Os editores que exploren calquera dos patróns deben prever un calendario de consulta de seis a doce semanas.
Como usan os reguladores a DPIA nas investigacións
A DPIA é o único documento que un regulador solicita en primeiro lugar cando unha reclamación sobre cookies alcanza a fase de investigación formal. O Garante italiano, o CNIL francés, o APD belga e o BayLDA bávaro abren todos os seus expedientes de procedemento cunha solicitude da DPIA que cubre a actividade en cuestión. Tres patróns emerxen das decisións recentes:
As DPIA producidas tarde descontanse significativamente
Unha DPIA datada despois da solicitude do regulador non será tratada como evidencia de avaliación previa ao lanzamento. Varias decisións de 2025 indicaron expresamente que o documento foi creado a posteriori e valorárono en consecuencia. A DPIA debe preceder ao lanzamento do tratamento, e os metadatos ou o historial de versións do documento deben deixar iso claro.
As DPIA xenéricas trátanse como inexistentes
Unha DPIA de modelo copiada do portal dun proveedor de CMP sen análise específica do sitio é rexeitada cada vez máis. A decisión Garante 2025 contra un grupo editor italiano mencionou seis dos nove sitios no ámbito de aplicación e concluíu que unha única DPIA compartida que os cubría a todos eles non satisfacía o artigo 35.
As medidas de mitigación deben coincidir coas realmente despregadas
Se a DPIA describe unha retención de cookies de 60 días pero as cookies despregadas usan unha vida útil de 24 meses, o regulador tratará a DPIA como inexacta. A auditoría trimestral da configuración despregada fronte á descrición da DPIA xa non é opcional.
En resumo
Para a maioría dos editores a resposta práctica é a mesma: é precisa unha DPIA, debe elaborarse antes de lanzar calquera rastrexo novo e debe revisarse trimestralmente fronte á configuración despregada. O documento non precisa ser longo, pero debe ser específico para o sitio, redactado antes do lanzamento, aprobado polo DPO ou por un asesor externo documentado, e aliñado co que realmente se está executando en produción. Os editores que acertan neses catro puntos converten a DPIA dunha carga de cumprimento na mellor defensa que teñen cando un regulador vén preguntar.