Deber de consulta previa en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
Como indica el artículo 36 del RGPD, el responsable del tratamiento consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto, relativa a la protección de los datos en virtud del artículo 35 del RGPD, muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
El artículo 36 del RGPD regula la consulta previa entorno a la EIPD. Así, en este precepto se indica que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al artículo 35 del RGPD, muestre que el tratamiento puede entrañar un alto riesgo si el responsable no toma las medidas suficientes y necesarias para mitigarlo. De este modo, los condicionantes que se deben reunir para acudir a esta vía son:
- Ser el responsable del tratamiento. El artículo 28, apartado 1, de la LOPDGDD indica que el responsable o el encargado es quien debe valorar si procede la realización de la EIPD y la consulta previa. Asimismo, el artículo 28, apartado 3, letra f), del RGPD contempla que el contrato que rige el tratamiento por el encargado debe estipular, en particular, que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones respecto a la seguridad de los datos personales —en las que se incluye la consulta previa de la EIPD—, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
- Haber completado la EIPD.
- Que la EIPD muestre un alto riesgo para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo, esto es, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, se activa el procedimiento de consulta previa ante la autoridad de control.
- Límite temporal: debe realizarse antes de poner en práctica el tratamiento.
Concreta la AEPD que «no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».
Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:
«Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».
De este modo, en relación a los plazos en la consulta previa, debe realizarse de modo inmediato tras terminar la EIPD, y la AEPD (autoridad de control en nuestro territorio) dispondrá de ocho semanas para resolver el asunto, pudiendo ampliarlo otras seis semanas en caso de mayor complejidad o suspenderlo temporalmente cuando sea necesario para resolver la consulta.
En concreto, el artículo 57 apartado 1, letra l), del RGPD señala que incumbe a cada autoridad de control, en su territorio, ofrecer asesoramiento cuando entienda que el tratamiento previsto pueda infringir el RGPD, así como lo indicado en el artículo 58, apartado 3, letra a), del RGPD que fija que cada autoridad de control dispone de todos los poderes de autorización y consultivos relativos al asesoramiento al responsable del tratamiento conforme al procedimiento de consulta previa.
El artículo 36, apartado 3, del RGPD, establece que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad:
- En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular, en caso de tratamiento dentro de un grupo empresarial.
- Los fines y medios del tratamiento previsto.
- Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
- Si lo hubiera, los datos de contacto del delegado de protección de datos. Indicar al respecto del artículo 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
- La EIPD completada.
- Cualquier otra información que solicite la autoridad de control.
A TENER EN CUENTA. La información inexacta que se facilite a la autoridad de protección de datos en estos casos de consulta previa está tipificada como infracción leve, a tenor del artículo 74, apartado o), de la LOPDGDD.
El artículo 36, apartado 4 y 5, del RGPD recoge que la consulta a la autoridad de control también se realizará:
Durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
Cuando el derecho de los Estados miembros obligue a la consulta previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular, el tratamiento en relación con la protección social y la salud pública.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional TJUE, 17-05-2021
Orden: Supranacional Fecha: 17/05/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional TJUE, 02-08-2021
Orden: Supranacional Fecha: 02/08/2021 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia Supranacional Nº C-645/19, TJUE, 15-06-2021
Orden: Supranacional Fecha: 15/06/2021 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-645/19
-
Sentencia Supranacional Nº C-311/18, TJUE, 16-07-2020
Orden: Supranacional Fecha: 16/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-311/18
-
Contenido y metodología de la Evaluación de impacto según el RGPD
Orden: Administrativo Fecha última revisión: 20/07/2021
A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Evaluación de impacto relativa a protección de datos (comunidad de propietarios)
Fecha última revisión: 08/07/2021
La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:Llevanza de un registro de actividades de tratamiento.Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecu...
-
Evaluación de impacto relativa a la protección de datos (EIPD)
Orden: Administrativo Fecha última revisión: 20/07/2021
A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...
-
Sanciones y medidas correctivas en materia de protección de datos
Orden: Administrativo Fecha última revisión: 21/07/2021
El artículo 84 del RGPD,en cuanto a las sanciones, establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83 del referido reglamento.En el sistema...
-
Informe final sobre riesgos existentes y ausencia de necesidad de realización de Evaluación de impacto (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
INFORME FINAL SOBRE RIESGOS EXISTENTES Y AUSENCIA DE NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS)FECHA: [FECHA]REALIZADO POR: [NOMBRE_EMPRESA]De conformidad con lo dispuesto en el artículo 28 de la Ley Orgánic...
-
Informe final sobre riesgos existentes y necesidad de realización de Evaluación de impacto. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
INFORME FINAL SOBRE RIESGOS EXISTENTES Y NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO)FECHA: [FECHA]REALIZADO POR: [NOMBRE_EMPRESA]De conformidad con lo dispuesto en el artículo 35 del Reglamento (UE) 2016/679 del Parlamento Europeo y ...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal ga...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” apli...
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 11 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Madrid nº 29, por la que deniega la expedición de una certificación del historial completo de determinada finca registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 11/06/2018
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014