RGPD - ARTICOLUL 35 - EVALUAREA IMPACTULUI (AIPD)

AIPD-ul dumneavoastră conform
metodei CNIL

RGPD impune o Evaluare a Impactului asupra Protecției Datelor pentru orice prelucrare susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor. SYAGA DPIA-Express structurează și documentează AIPD-ul dumneavoastră conform metodologiei articolului 35 și liniilor directoare ale CEPD, fără improvizație și fără jargon.

35
Articol RGPD (AIPD)
9
Criterii CEPD (WP248 rev.01)
3
Cazuri de obligație (art. 35.3)
4
Componente ale metodei (art. 35.7 a-d)

Obligația

Determinați dacă prelucrarea dumneavoastră trebuie să facă obiectul unei AIPD, apoi conduceți-o conform regulilor

Articolul 35 din RGPD impune o AIPD

Orice prelucrare susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice trebuie să facă obiectul unei Evaluări a Impactului asupra Protecției Datelor înainte de punerea sa în aplicare (RGPD, art. 35).

📋

Regula CNIL a „2 criterii din 9” (autoritate franceză)

CEPD (fost G29, linii directoare WP248 rev.01) a definit 9 criterii de risc ridicat. De îndată ce o prelucrare îndeplinește cel puțin două dintre aceste criterii, o AIPD trebuie în principiu să fie realizată: o singură piesă identificată greșit, și dosarul este incomplet.

🔍

Liste CNIL de confruntat articol cu articol (autoritate franceză)

CNIL publică liste de prelucrări pentru care AIPD este necesară sau nu este necesară. A determina unde se situează exact prelucrarea dumneavoastră necesită o lectură riguroasă, nu o impresie generală.

Fără metodă, riscul este dublu

A conduce o AIPD prea repede o expune la incompletitudine în fața unei autorități de control; a nu o conduce atunci când este necesară expune organizația unei încălcări a articolului 35. Metoda CNIL structurează această alegere și o documentează.

Metoda: DPIA-Express

Structura impusă de articolul 35.7 din RGPD, aplicată prelucrării dumneavoastră, cu o concluzie motivată la fiecare etapă

1
Determinarea obligației

Prelucrarea dumneavoastră este cu adevărat supusă AIPD?

Analiză în raport cu cele 3 cazuri ale articolului 35.3, grila celor 9 criterii ale CEPD (WP248 rev.01) și listele CNIL ale prelucrărilor necesare sau nu. Concluzie motivată, indiferent dacă AIPD este în final obligatorie sau nu.

2
Art. 35.7.a

Descrierea sistematică a prelucrării

Scopuri, categorii de date și de persoane vizate, destinatari, durate de păstrare: cartografierea completă cerută de articolul 35.7.a, coerentă cu registrul dumneavoastră al activităților de prelucrare (art. 30).

3
Art. 35.7.b

Necesitate și proporționalitate

Verificarea că fiecare dată colectată este necesară scopului urmărit, că temeiul legal (art. 6) este identificat pentru fiecare prelucrare, și că principiul minimizării (art. 5.1.c) este respectat.

4
Art. 35.7.c

Evaluarea riscurilor pentru persoane

Pentru fiecare risc identificat: gravitate, probabilitate, măsuri deja existente, risc rezidual, prezentate sub formă de tabel utilizabil de către conducerea dumneavoastră sau de responsabilul dumneavoastră cu protecția datelor (DPO).

5
Art. 35.7.d și 5.2

Măsuri și concluzie documentată

Măsuri tehnice și organizatorice avute în vedere (art. 32), concluzie motivată și justificare documentată în temeiul responsabilității (accountability, art. 5.2), utilizabilă în caz de control al CNIL.

Ce primiți

Un document structurat, cu surse, și onest în privința a ceea ce rămâne de validat de către juristul sau DPO-ul dumneavoastră

📝

Raport AIPD structurat

Documentul complet conform articolului 35.7 (a-d), cu o concluzie motivată.

  • Descrierea sistematică a prelucrării
  • Analiza necesității și proporționalității
  • Tabelul riscurilor (gravitate/probabilitate/măsuri)
  • Concluzie și justificare documentată (art. 5.2)

Grilă de determinare

Analiza prealabilă care tranșează dacă prelucrarea dumneavoastră intră în domeniul obligației.

  • Cele 3 cazuri ale articolului 35.3
  • Cele 9 criterii CEPD (WP248 rev.01)
  • Confruntare cu listele CNIL
  • Concluzie motivată și cu surse
📁

Coerență cu registrul art. 30

AIPD se bazează pe același soclu ca și registrul dumneavoastră al activităților de prelucrare.

  • Scopuri și temeiuri legale
  • Categorii de date și de persoane
  • Destinatari și persoane împuternicite
  • Durate de păstrare pe categorie
🚩

Puncte de validat de juristul/DPO-ul dumneavoastră

Fiecare punct de incertitudine este semnalat explicit, niciodată tranșat în locul dumneavoastră.

  • Calificarea operator / persoană împuternicită
  • Temeiuri legale pe scop
  • Transferuri în afara UE identificate
  • Desemnarea unui DPO (art. 37), dacă este cazul
🔗

Surse și trasabilitate

Fiecare afirmație juridică are o sursă, nu este afirmată din memorie.

  • Textul consolidat RGPD (CELEX 32016R0679)
  • Pagini și liste CNIL (AIPD, registru)
  • Linii directoare CEPD (WP248 rev.01)
  • URL-uri verificabile citate în document
📄

Document editabil

Livrat într-un format editabil, reutilizabil de către DPO-ul sau juristul dumneavoastră.

  • Structură conformă cu articolul 35.7
  • Reutilizabil pentru prelucrările dumneavoastră viitoare
  • Gata de completat înainte de validarea finală
  • Nicio formatare fixă impusă

Referințe utilizate

O metodă care se bazează pe texte și autorități, nu pe interpretări proprii

35

RGPD - Articolul 35

Evaluarea impactului asupra protecției datelor. Textul consolidat al Regulamentului (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

CEPD

Linii directoare WP248 rev.01

Cele 9 criterii de risc ridicat ale CEPD (fost G29), preluate de CNIL ca metodă de referință pentru determinarea obligației de AIPD.

CNIL

Liste și metodă CNIL (autoritate franceză)

Liste ale prelucrărilor pentru care AIPD este necesară sau nu, și metoda CNIL de conducere a unei evaluări de impact.

30

RGPD - Articolul 30

Registrul activităților de prelucrare: soclul de coerență (scopuri, date, durate) pe care se bazează orice AIPD.

O AIPD la comandă, fără preț ascuns

Perimetrul depinde de numărul de prelucrări, de complexitatea lor și de ceea ce este deja documentat la dumneavoastră. Ofertă stabilită după un prim schimb de informații.

Determinarea obligației

Nu știți dacă prelucrarea dumneavoastră este vizată

La ofertă
în funcție de numărul de prelucrări de analizat
  • Grila celor 9 criterii CEPD
  • Confruntare cu articolul 35.3
  • Verificarea listelor CNIL
  • Concluzie motivată și cu surse
Solicitați o ofertă

Program multianual

Mai multe prelucrări cu risc de acoperit

La ofertă
în funcție de numărul de prelucrări și de ritmul de reexaminare
  • Tot pachetul AIPD completă +
  • Cadru metodologic comun
  • Reexaminare periodică (art. 35.11)
  • Coerență menținută cu registrul (art. 30)
Solicitați o ofertă

O AIPD nu este niciodată fixă definitiv

Articolul 35.11 din RGPD impune reexaminarea analizei în caz de evoluție semnificativă a prelucrării (nou împuternicit, schimbare de găzduire, extinderea perimetrului de colectare). O ofertă de reexaminare se stabilește de la caz la caz.

Întrebări frecvente

Prelucrarea mea este cu adevărat supusă obligației de AIPD?
Aceasta depinde de trei elemente verificate metodic: cele 3 cazuri ale articolului 35.3 din RGPD, grila celor 9 criterii ale CEPD (linii directoare WP248 rev.01, preluate de CNIL: de îndată ce 2 criterii din 9 sunt îndeplinite, o AIPD trebuie în principiu să fie realizată), și listele CNIL ale prelucrărilor necesare sau nu. Documentul livrat tranșează această întrebare și o justifică, punct cu punct.
Ce conține exact documentul livrat?
Un document structurat conform articolului 35.7 din RGPD: descriere sistematică a prelucrării (a), analiza necesității și proporționalității (b), evaluarea riscurilor pentru persoanele vizate (c), măsuri tehnice și organizatorice avute în vedere (d), apoi o concluzie motivată. Fiecare referință legală are o sursă (text consolidat RGPD, CNIL, CEPD).
Și dacă prelucrarea mea nu este în final supusă obligației de AIPD?
Documentul este menținut cu titlu voluntar și documentar: el constituie justificarea deciziei dumneavoastră de a nu conduce o AIPD formală, în temeiul principiului responsabilității (accountability, art. 5.2 din RGPD), utilizabilă în caz de control al CNIL.
Acest document înlocuiește avizul avocatului sau al DPO-ului meu?
Nu. DPIA-Express este un instrument de asistență metodologică care structurează și documentează analiza; el nu constituie un aviz juridic. Fiecare document livrat listează explicit punctele care rămân de validat de juristul sau Responsabilul dumneavoastră cu Protecția Datelor înainte de orice utilizare opozabilă.
Cine trebuie să realizeze AIPD în organizația mea?
Operatorul de date rămâne responsabil din punct de vedere juridic pentru AIPD; DPO-ul, atunci când există, trebuie consultat (art. 35.2 din RGPD). DPIA-Express pregătește materia (descriere, riscuri, măsuri) pentru ca această consultare să se facă pe un dosar deja structurat, și nu pe o pagină albă.
De ce să apelați la SYAGA în loc să o faceți în întregime intern?
SYAGA Consulting există din 2009 și aplică aceeași metodă propriilor sale prelucrări, inclusiv propriului său produs de audit Microsoft 365, a cărui analiză a obligației de AIPD urmează exact această structură. Nu livrăm un șablon generic: fiecare document este construit prelucrare cu prelucrare, articol cu articol.

Gata să vă documentați AIPD-ul?

Descrieți-ne prelucrarea dumneavoastră, revenim către dumneavoastră cu o ofertă personalizată.

Monitorizare reglementară - surse oficiale

Ce spune cu adevărat textul, digerat în limbaj simplu. Fiecare punct își păstrează legătura către documentul oficial.

📋

Ce este o AIPD, pe scurt?

O AIPD este pur și simplu o lucrare de evaluare: se analizează riscurile pe care o prelucrare de date le prezintă pentru persoane, înainte de a o pune în aplicare. CNIL o definește ca „un proces formal care permite evaluarea riscurilor legate de prelucrarea datelor cu caracter personal”. Nu este o formalitate administrativă în plus, este un instrument de bun-simț devenit obligatoriu prin RGPD în anumite cazuri. Sursă: CNIL (autoritate franceză) →

🎯

Cine este cu adevărat vizat: regula „2 criterii din 9”

Nu este nevoie să fii o companie mare pentru a fi vizat. CNIL consideră că o AIPD este obligatorie de îndată ce o prelucrare îndeplinește cel puțin două dintre aceste nouă situații: a nota sau evalua persoane, a lua o decizie automatizată care are un efect real asupra acestora, a le supraveghea în mod sistematic, a colecta date sensibile (sănătate, origine etc.), a colecta la scară largă, a încrucișa mai multe baze de date, a viza persoane vulnerabile (angajați, pacienți, minori...), a utiliza o tehnologie nouă, sau a priva pe cineva de un drept sau de un serviciu. Sursă: CNIL (autoritate franceză) →

Două liste CNIL care răspund adesea în locul dumneavoastră

Pentru a evita ghicitul, CNIL a publicat două liste oficiale: o listă de 14 tipuri de prelucrări unde AIPD este obligatorie (date de sănătate, profilare HR, supravegherea angajaților, geolocalizare la scară largă...), și o listă de 12 tipuri unde nu este necesară (salarizare și gestiunea personalului sub 250 de angajați fără profilare, gestiunea furnizorilor, dosarul pacientului al unui profesionist din sănătate izolat...). Aceste liste nu acoperă toate cazurile, dar răspund deja la multe situații curente. Sursă: lista CNIL a prelucrărilor necesare (autoritate franceză) →

🧩

Ce trebuie să conțină cu adevărat analiza

RGPD (articolul 35) nu cere un roman, ci patru elemente precise: descrierea prelucrării și a obiectivului său, verificarea că este cu adevărat necesară și proporțională, evaluarea riscurilor pentru persoanele vizate, apoi listarea măsurilor prevăzute pentru a reduce aceste riscuri. O concluzie clară la final: prelucrarea este acceptabilă, și în ce condiții. Sursă: RGPD, articolul 35 →

👤

Rolul DPO-ului dumneavoastră (dacă aveți unul)

Dacă organizația dumneavoastră a desemnat un Responsabil cu Protecția Datelor, RGPD impune să i se ceară acestuia sfatul în momentul conducerii AIPD, și să fie însărcinat să verifice că analiza a fost într-adevăr realizată. Este o măsură de siguranță, nu o căsuță de bifat: DPO-ul rămâne reflexul corect înainte de a valida o concluzie. Sursă: RGPD, articolele 35 și 39 →

Și dacă riscul rămâne ridicat după analiză?

Dacă, în ciuda măsurilor prevăzute, prelucrarea prezintă în continuare un risc ridicat pentru persoane, RGPD impune consultarea CNIL înainte de a începe. Aceasta dispune atunci de opt săptămâni pentru a-și da avizul scris (prelungibil cu șase săptămâni dacă dosarul este complex). Liniștitor de știut: acest caz rămâne excepția, nu regula. Sursă: RGPD, articolul 36 →

💰

Sancțiunile, fără a dramatiza

CNIL reamintește că amenzile RGPD pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală mondială, în funcție de suma cea mai mare. Este un plafon legal, nu o fatalitate: o AIPD bine condusă este tocmai ceea ce permite să se arate, în caz de control, că problema a fost tratată cu seriozitate. Sursă: CNIL (autoritate franceză) →

📢

O actualitate europeană de urmărit

Comitetul European pentru Protecția Datelor (CEPD/EDPB) a supus consultării publice, din 14 aprilie până la 9 iunie 2026, un proiect de model unic de AIPD destinat să armonizeze practicile între țările europene. Consultarea este acum închisă; urmărim continuarea dată acestui proiect pentru a informa clienții noștri la momentul potrivit. Sursă: EDPB →