Deber de consulta previa en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

Como indica el artículo 36 del RGPD, el responsable del tratamiento consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto, relativa a la protección de los datos en virtud del artículo 35 del RGPD, muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo. 

 

Consulta previa de la EIPD ante la autoridad de control

El artículo 36 del RGPD regula la consulta previa entorno a la EIPD. Así, en este precepto se indica que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al artículo 35 del RGPD, muestre que el tratamiento puede entrañar un alto riesgo si el responsable no toma las medidas suficientes y necesarias para mitigarlo. De este modo, los condicionantes que se deben reunir para acudir a esta vía son:

  • Ser el responsable del tratamiento. El artículo 28, apartado 1, de la LOPDGDD indica que el responsable o el encargado es quien debe valorar si procede la realización de la EIPD y la consulta previa. Asimismo, el artículo 28, apartado 3, letra f), del RGPD contempla que el contrato que rige el tratamiento por el encargado debe estipular, en particular, que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones respecto a la seguridad de los datos personales —en las que se incluye la consulta previa de la EIPD—, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
  • Haber completado la EIPD.
  • Que la EIPD muestre un alto riesgo para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo, esto es, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, se activa el procedimiento de consulta previa ante la autoridad de control.
  • Límite temporal: debe realizarse antes de poner en práctica el tratamiento.

Concreta la AEPD que «no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».

Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:

«Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».

De este modo, en relación a los plazos en la consulta previa, debe realizarse de modo inmediato tras terminar la EIPD, y la AEPD (autoridad de control en nuestro territorio) dispondrá de ocho semanas para resolver el asunto, pudiendo ampliarlo otras seis semanas en caso de mayor complejidad o suspenderlo temporalmente cuando sea necesario para resolver la consulta. 

En concreto, el artículo 57 apartado 1, letra l), del RGPD señala que incumbe a cada autoridad de control, en su territorio, ofrecer asesoramiento cuando entienda que el tratamiento previsto pueda infringir el RGPD, así como lo indicado en el artículo 58, apartado 3, letra a), del RGPD que fija que cada autoridad de control dispone de todos los poderes de autorización y consultivos relativos al asesoramiento al responsable del tratamiento conforme al procedimiento de consulta previa.

El artículo 36, apartado 3, del RGPD, establece que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad:

  • En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular, en caso de tratamiento dentro de un grupo empresarial.
  • Los fines y medios del tratamiento previsto.
  • Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
  • Si lo hubiera, los datos de contacto del delegado de protección de datos. Indicar al respecto del artículo 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
  • La EIPD completada.
  • Cualquier otra información que solicite la autoridad de control.

A TENER EN CUENTA. La información inexacta que se facilite a la autoridad de protección de datos en estos casos de consulta previa está tipificada como infracción leve, a tenor del artículo 74, apartado o), de la LOPDGDD

El artículo 36, apartado 4 y 5, del RGPD recoge que la consulta a la autoridad de control también se realizará:

  • Durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.

  • Cuando el derecho de los Estados miembros obligue a la consulta previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular, el tratamiento en relación con la protección social y la salud pública.

A TENER EN CUENTA. La LOPDGDD dispone en su artículo 73, letra u), que el incumplimiento de la consulta previa, en los casos previstos a tal efecto, se considera infracción grave, con un plazo de prescripción de dos años. 
 

No hay versiones para este comentario

Evaluación de impacto en protección de datos
Autoridad de control de datos
Responsable del tratamiento
Protección de datos
Tratamiento de datos personales
Cumplimiento de las obligaciones
Seguridad de los datos personales
Medidas de seguridad
Delegado de protección
Agrupaciones de empresas
Interés publico
Plazo de prescripción
Documentos relacionados
Ver más documentos relacionados
  • Contenido y metodología de la Evaluación de impacto según el RGPD

    Orden: Administrativo Fecha última revisión: 20/07/2021

    A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...

  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 21/05/2021

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...

  • Evaluación de impacto relativa a protección de datos (comunidad de propietarios)

    Fecha última revisión: 08/07/2021

    La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:Llevanza de un registro de actividades de tratamiento.Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecu...

  • Evaluación de impacto relativa a la protección de datos (EIPD)

    Orden: Administrativo Fecha última revisión: 20/07/2021

    A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...

  • Sanciones y medidas correctivas en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 21/07/2021

    El artículo 84 del RGPD,en cuanto a las sanciones, establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83 del referido reglamento.En el sistema...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados