DPIA pentru Consimțământul la Cookie-uri: Când Editorii Trebuie să Efectueze o Evaluare a Impactului asupra Protecției Datelor
Majoritatea editorilor consideră o Evaluare a Impactului asupra Protecției Datelor ca o sarcină de conformitate pentru altcineva — responsabilul cu protecția datelor, un consilier juridic extern, rarul proiect de inginerie care implică biometrie. În realitate, GDPR impune o DPIA pentru un set de activități mult mai larg decât realizează majoritatea operatorilor ad-tech, iar multe fluxuri de consimțământ la cookie-uri și de publicitate comportamentală se încadrează exact în criteriile de declanșare. Întrebarea pe care autoritățile de supraveghere o adresează acum editorilor în audituri și investigații de reclamații este directă: ați efectuat o DPIA înainte de a implementa această urmărire și ne-o puteți prezenta? Acest ghid explică când o DPIA este obligatorie, ce trebuie să conțină și cum să produceți una care să reziste controlului autorităților de reglementare.
Ce este o DPIA și de ce există
Evaluarea Impactului asupra Protecției Datelor este definită în Article 35 din GDPR. Este o analiză documentată pe care un operator trebuie să o efectueze înainte de lansarea oricărei operațiuni de prelucrare care este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. DPIA obligă operatorul să descrie prelucrarea, să evalueze necesitatea și proporționalitatea acesteia, să identifice riscurile și să documenteze măsurile luate pentru a le reduce. Dacă riscul rezidual rămâne ridicat, operatorul trebuie să consulte autoritatea de supraveghere înainte de a pune în funcțiune prelucrarea.
Pentru editori, DPIA nu este un artefact juridic punctual. Este documentul central pe care un autoritate de reglementare îl va solicita la investigarea unei reclamații privind cookie-urile sau urmărirea, și este documentul care determină dacă editorul poate demonstra responsabilitatea în temeiul Article 5(2). Fără acesta, sarcina probei se deplasează decisiv împotriva dvs.
Când o DPIA este obligatorie pentru fluxurile de cookie-uri și consimțământ
Article 35(3) enumeră trei criterii de declanșare explicite ale DPIA. Ghidurile Article 29 Working Party (adoptate acum de EDPB) adaugă o listă de nouă criterii indicative. Se prezumă că o activitate de prelucrare care îndeplinește oricare două dintre aceste criterii necesită o DPIA. Pentru fluxurile de cookie-uri și ad-tech, cele mai relevante criterii sunt:
- Evaluare sistematică și extinsă — inclusiv profilarea pentru publicitate și personalizarea conținutului.
- Prelucrare la scară largă — măsurată prin volumul de date, numărul de persoane vizate, extinderea geografică și durata. Site-urile editorilor cu utilizatori lunari în cifre de șapte zerouri se califică aproape întotdeauna.
- Utilizare inovatoare a tehnologiei — acoperă fingerprinting-ul, identificarea cross-device, federated learning, măsurarea atenției, inferența comportamentală bazată pe AI.
- Urmărirea locației sau comportamentului — capturată direct de publicitatea comportamentală și retargeting.
- Combinarea sau corelarea seturilor de date — inclusiv îmbogățirea server-side, grafuri de identitate, data clean rooms, cuplarea platformelor de date pentru clienți.
Un site tipic al unui editor de dimensiuni medii care utilizează publicitate comportamentală și rulează mai mult de câțiva pixeli terți va îndeplini simultan cel puțin trei dintre aceste criterii. Prezumția că o DPIA este necesară este, în practică, o aproape-certitudine. Mai multe autorități naționale de protecție a datelor și-au publicat propriile liste obligatorii de DPIA; Garante italian, CNIL francez și DSK german au desemnat cu toții publicitatea programatică și profilarea cross-site drept criterii de declanșare implicite pentru DPIA.
Ce trebuie să conțină documentul DPIA
Article 35(7) stabilește patru conținuturi obligatorii. O DPIA căreia îi lipsește oricare dintre ele este tratată de autoritățile de supraveghere ca și cum nu ar fi fost efectuată deloc.
O descriere sistematică a prelucrării
Aceasta nu este un rezumat de un paragraf. Descrierea trebuie să acopere fiecare categorie de date cu caracter personal prelucrate, fiecare scop, fiecare destinatar, fiecare perioadă de stocare și fiecare transfer transfrontalier. Pentru un flux ad-tech, aceasta înseamnă enumerarea fiecărui furnizor din șirul dvs. TCF, datele pe care fiecare le primește și temeiul juridic invocat pentru fiecare. Editorii care copiază direct lista de furnizori TCF v2.2 în anexa DPIA au produs documente utilizabile; cei care o rezumă în două fraze nu au făcut-o.
O evaluare a necesității și proporționalității
Necesitatea întreabă dacă același scop poate fi atins cu mai puține date sau cu date non-personale. Pentru un flux de publicitate comportamentală, aceasta înseamnă abordarea sinceră a întrebării dacă publicitatea contextuală ar servi același scop. EDPB Opinion 28/2024 este explicit că o DPIA nu poate respinge publicitatea contextuală într-o singură linie — operatorul trebuie să demonstreze că alternativa a fost luată în considerare și să explice de ce a fost respinsă.
O evaluare a riscurilor pentru persoanele vizate
Analiza riscurilor trebuie să ia în considerare accesul ilicit, divulgarea neautorizată, alterarea, pierderea și riscurile sociale mai largi ale profilării — efecte inhibitoare, discriminare, dependență. Pentru fiecare risc identificat, evaluarea trebuie să indice probabilitatea, gravitatea și nivelul rezidual după măsurile de atenuare.
Măsurile luate pentru a aborda riscurile
Aici apare platforma de gestionare a consimțământului în DPIA. Captarea granulară a consimțământului, renunțarea furnizor cu furnizor, retragerea ușoară, limitele de stocare, criptarea în tranzit și în repaus, garanțiile contractuale pentru procesatorii de date — fiecare măsură trebuie legată de un risc specific identificat. O declarație generică că editorul folosește un CMP nu este o măsură.
Rolul Responsabilului cu Protecția Datelor
Article 35(2) impune operatorului să solicite avizul DPO la efectuarea unei DPIA. Pentru editorii cu un DPO desemnat, acest lucru este simplu. Pentru editorii mai mici fără unul, DPIA poate fi totuși efectuată, dar trebuie realizată cu consiliere externă documentată — consilier juridic extern, consultant din industrie sau echipa de conformitate a unui furnizor de CMP. Rolul DPO este de a contesta analiza necesității operatorului, nu de a o valida.
Când este necesară consultarea prealabilă
Article 36 impune consultarea prealabilă cu autoritatea de supraveghere atunci când DPIA arată că prelucrarea ar genera un risc ridicat pe care operatorul nu îl poate reduce. În practică, acest lucru este rar pentru fluxurile de cookie-uri și consimțământ — majoritatea riscurilor pot fi atenuate prin consimțământ granular, reducerea furnizorilor, limite de stocare și garanții contractuale. Dar nu este zero. Două cazuri care au declanșat consultarea prealabilă în 2024 și 2025: un identificator bazat pe fingerprinting implementat fără integrare TCF și un graf de identitate cross-device care combina date primare cu brokeri de date terți. Editorii care explorează oricare dintre aceste modele ar trebui să planifice un calendar de consultare de șase până la douăsprezece săptămâni.
Cum utilizează autoritățile de supraveghere DPIA în investigații
DPIA este singurul document pe care un autoritate de supraveghere îl solicită primul atunci când o reclamație privind cookie-urile ajunge în stadiul de investigație formală. Garante italian, CNIL francez, APD belgian și BayLDA bavarez își deschid cu toții dosarele procedurale cu o solicitare a DPIA care acoperă activitatea în cauză. Trei modele reies din deciziile recente:
DPIA-urile produse târziu sunt puternic devalorizate
O DPIA datată după solicitarea autorității de supraveghere nu va fi tratată ca dovadă a evaluării pre-lansare. Mai multe decizii din 2025 au menționat explicit că documentul a fost creat post-hoc și l-au cântărit în consecință. DPIA trebuie să preceadă lansarea prelucrării, iar metadatele documentului sau istoricul versiunilor ar trebui să clarifice acest lucru.
DPIA-urile generice sunt tratate ca inexistente
O DPIA șablon copiată din portalul unui furnizor de CMP fără analiză specifică site-ului este din ce în ce mai des respinsă. Decizia Garante din 2025 împotriva unui grup de editori italieni a menționat șase dintre cele nouă site-uri din domeniu și a constatat că o singură DPIA comună care le acoperea pe toate nu satisfăcea Article 35.
Măsurile de atenuare trebuie să corespundă cu ceea ce este efectiv implementat
Dacă DPIA descrie o stocare a cookie-urilor de 60 de zile, dar cookie-urile implementate utilizează o durată de viață de 24 de luni, autoritatea de supraveghere va trata DPIA ca inexactă. Auditul trimestrial al configurației implementate față de descrierea DPIA nu mai este opțional.
Punând totul laolaltă
Pentru majoritatea editorilor, răspunsul practic este același: o DPIA este necesară, trebuie elaborată înainte de lansarea oricărei noi urmăriri și trebuie revizuită trimestrial în raport cu configurația implementată. Documentul nu trebuie să fie lung, dar trebuie să fie specific site-ului, redactat înainte de lansare, avizat de DPO sau de un consilier extern documentat și aliniat cu ceea ce rulează efectiv în producție. Editorii care înțeleg corect acele patru puncte transformă DPIA dintr-o sarcină de conformitate în cea mai solidă apărare pe care o au atunci când o autoritate de supraveghere vine cu întrebări.