Çfarë Është DPIA dhe Pse Ekziston

Vlerësimi i Ndikimit në Mbrojtjen e të Dhënave është përcaktuar në Nenin 35 të GDPR. Është një analizë e dokumentuar që një kontrollues duhet të kryejë para se të nisë çdo operacion përpunimi që ka gjasa të rezultojë në një rrezik të lartë për të drejtat dhe liritë e personave fizikë. DPIA detyron kontrolluesin të përshkruajë përpunimin, të vlerësojë nevojshmërinë dhe proporcionalitetin e tij, të identifikojë rreziqet dhe të dokumentojë masat e marra për t'i zbutur ato. Nëse rreziku i mbetur mbetet i lartë, kontrolluesi duhet të konsultojë autoritetin mbikëqyrës para se të fillojë.

Për botuesit, DPIA nuk është një artefakt juridik njëherësh. Është dokumenti kryesor që një rregullator do të kërkojë kur heton një ankesë për cookies ose gjurmim, dhe është dokumenti që përcakton nëse botuesi mund të demonstrojë llogaridhënien sipas Nenit 5(2). Pa të, barra e provës zhvendoset vendosmërisht kundër jush.

Kur DPIA Është e Detyrueshme për Flukset e Cookies dhe Pëlqimit

Neni 35(3) liston tre aktivizues të qartë DPIA. Udhëzimet e Article 29 Working Party (tani miratuar nga EDPB) shtojnë një listë prej nëntë kritereve tregues. Një aktivitet përpunimi që plotëson çdo dy prej këtyre kritereve prezumohet të kërkojë DPIA. Për flukset e cookies dhe ad-tech, kriteret më relevante janë:

• Vlerësim sistematik dhe i gjerë — duke përfshirë profilizimin për reklamim dhe personalizim të përmbajtjes.
• Përpunim në shkallë të gjerë — i matur sipas vëllimit të të dhënave, numrit të subjekteve të të dhënave, shtrirjes gjeografike dhe kohëzgjatjes. Faqet e botuesve me miliona përdorues mujorë pothuajse gjithmonë kualifikohen.
• Përdorim inovativ i teknologjisë — mbulon gjurmim të gjurmëve, identifikim ndërmjet pajisjeve, mësim të federuar, matje të vëmendjes, konkluzione sjellore të bazuara në AI.
• Gjurmim i vendndodhjes ose sjelljes — kapur drejtpërdrejt nga reklamimi sjellor dhe ridrejtimi.
• Kombinimi ose përputhja e grupeve të të dhënave — duke përfshirë pasurimin nga ana e serverit, grafikët e identitetit, dhomat e pastra të të dhënave, qepjen e platformës së të dhënave të klientit.

Një faqe tipike e botuesit të nivelit të mesëm që përdor reklamim sjellor dhe ekzekuton më shumë se disa pixel të palëve të treta do të plotësojë të paktën tre prej këtyre kritereve njëkohësisht. Prezumimi se kërkohet DPIA është, në praktikë, pothuajse i sigurt. Disa DPA kombëtare kanë publikuar listat e tyre të detyrueshme DPIA; Italian Garante, French CNIL dhe German DSK kanë emërtuar reklamimin programatik dhe profilizimin ndërsajt si aktivizues të paracaktuar DPIA.

Çfarë Duhet të Përmbajë Dokumenti DPIA

Neni 35(7) përcakton katër përmbajtje të detyrueshme. Një DPIA që mungon ndonjë prej tyre trajtohet nga rregullatorët si e paekzekutuar fare.

Një përshkrim sistematik i përpunimit

Kjo nuk është një përmbledhje njëparagrafshe. Përshkrimi duhet të mbulojë çdo kategori të të dhënave personale të përpunuara, çdo qëllim, çdo marrës, çdo periudhë mbajtjeje dhe çdo transferim ndërkufitar. Për një fluks ad-tech, kjo do të thotë të listoni çdo shitës në vargun tuaj TCF, të dhënat që secili merr dhe bazën ligjore të pretenduar për secilin. Botuesit që kopjojnë direkt listën e shitësve TCF v2.2 në shtojcën DPIA kanë prodhuar dokumente të dobishme; ata që e përmblidhin në dy fjali nuk e kanë bërë.

Një vlerësim i nevojshmërisë dhe proporcionalitetit

Nevojshmëria pyet nëse i njëjti qëllim mund të arrihet me të dhëna më pak ose me të dhëna jo-personale. Për një fluks reklamimi sjellor, kjo do të thotë adresimi i ndershëm nëse reklamimi kontekstual do të shërbente të njëjtit qëllim. EDPB Opinion 28/2024 është i qartë se një DPIA nuk mund të hedhë poshtë reklamimin kontekstual në një rresht të vetëm — kontrolluesi duhet të demonstrojë se alternativa u konsiderua dhe të shpjegojë pse u hodh poshtë.

Një vlerësim i rreziqeve ndaj subjekteve të të dhënave

Analiza e rreziqeve duhet të marrë parasysh aksesin e paligjshëm, zbulimin e paautorizuar, ndryshimin, humbjen dhe rreziqet më të gjera sociale të profilizimit — efektet frenuese, diskriminimin, bllokimin. Për çdo rrezik të identifikuar, vlerësimi duhet të deklarojë gjasoshmërinë, ashpërsinë dhe nivelin e mbetur pas zbutjeve.

Masat e marra për të adresuar rreziqet

Këtu shfaqet platforma e menaxhimit të pëlqimit në DPIA. Kapja e detajuar e pëlqimit, çregjistrimi shitës pas shitësi, tërheqja e lehtë, kufijtë e mbajtjes, kriptimi gjatë tranzitit dhe në pushim, garancitë kontraktuale mbi përpunuesit e të dhënave — çdo masë duhet të lidhet me një rrezik të identifikuar specifik. Një deklaratë e përgjithshme se botuesi përdor CMP nuk është një masë.

Roli i Oficerit të Mbrojtjes së të Dhënave

Neni 35(2) kërkon që kontrolluesi të kërkojë këshillën e DPO kur kryen DPIA. Për botuesit me DPO të caktuar kjo është e drejtpërdrejtë. Për botuesit më të vegjël pa të, DPIA mund të kryhet ende, por duhet të ekzekutohet me këshilla të jashtme të dokumentuara — këshilltar juridik i jashtëm, konsulent i industrisë ose ekip i pajtueshmërisë së shitësit CMP. Roli i DPO është të sfidojë analizën e nevojshmërisë së kontrolluesit, jo ta vulosë atë.

Kur Kërkohet Konsultimi i Mëparshëm

Neni 36 kërkon konsultim të mëparshëm me autoritetin mbikëqyrës kur DPIA tregon se përpunimi do të rezultojë në një rrezik të lartë që kontrolluesi nuk mund ta zbusin. Në praktikë, kjo është e rrallë për flukset e cookies dhe pëlqimit — shumica e rreziqeve mund të zbuten përmes pëlqimit të detajuar, reduktimit të shitësve, kufijve të mbajtjes dhe garancive kontraktuale. Por nuk është zero. Dy raste që kanë nxitur konsultim të mëparshëm në 2024 dhe 2025: një identifikues i bazuar në gjurmim të gjurmëve i vendosur pa integrimin TCF, dhe një grafik identiteti ndërmjet pajisjeve që kombinoi të dhëna të palës së parë me ndërmjetës të dhënash të palëve të treta. Botuesit që eksplorojnë secilin model duhet të planifikojnë për një afat kohor konsultimi prej gjashtë deri në dymbëdhjetë javësh.

Si Rregullatorët Përdorin DPIA në Hetime

DPIA është dokumenti i vetëm që një rregullator kërkon i pari kur një ankesë cookie arrin në fazën e hetimit formal. Italian Garante, French CNIL, Belgian APD dhe Bavarian BayLDA të gjithë hapin skedarët e tyre proceduralë me një kërkesë për DPIA-n që mbulon aktivitetin në fjalë. Tre modele dalin nga vendimet e fundit:

DPIA-t e prodhuara me vonesë janë të zbutura shumë

Një DPIA e datuar pas kërkesës së rregullatorit nuk do të trajtohet si provë e vlerësimit para nisjes. Disa vendime të vitit 2025 kanë shënuar shprehimisht se dokumenti u krijua pas faktit dhe e pesuan atë në përputhje me rrethanat. DPIA duhet t'i paraprijë nisjes së përpunimit dhe metadata e dokumentit ose historia e versioneve duhet ta bëjë të qartë.

DPIA-t e përgjithshme trajtohen si të munguara

Një model DPIA i kopjuar nga portali i shitësit CMP pa analizë specifike të faqes refuzohet gjithnjë e më shumë. Vendimi i Garante 2025 kundër një grupi botuesish italianë emërtoi gjashtë prej nëntë faqeve në shtrirje dhe zbuloi se një DPIA e vetme e ndarë që mbulon të gjitha ato nuk plotësonte Nenin 35.

Masat e zbutjes duhet të përputhen me atë që është vendosur faktikisht

Nëse DPIA përshkruan mbajtje cookie 60-ditore, por cookies e vendosura përdorin një jetëgjatësi 24-mujore, rregullatori do ta trajtojë DPIA si të pasaktë. Auditimi çerekorial i konfigurimit të vendosur kundrejt përshkrimit DPIA nuk është më opsional.

Duke i Bashkuar

Për shumicën e botuesve, përgjigja praktike është e njëjtë: kërkohet DPIA, duhet të hartohet para se të nisë çdo gjurmim i ri dhe duhet të rishikohet çdo çerek kundrejt konfigurimit të vendosur. Dokumenti nuk duhet të jetë i gjatë, por duhet të jetë specifik për faqen, shkruar para nisjes, nënshkruar nga DPO ose këshilltari i jashtëm i dokumentuar dhe i përafruar me atë që po funksionon faktikisht në prodhim. Botuesit që i marrin ato katër pika saktë e kthejnë DPIA nga një barrë pajtueshmërie në mbrojtjen më të fortë që kanë kur një rregullator vjen të pyesë.