Deber de consulta previa en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 04/02/2019

El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del Art. 35 RGPD, muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

 

Por otra parte, resulta necesario tomar en consideración lo dispuesto en el artículo 36 del RGPD, toda vez que este precepto impone al responsable la obligación de realizar una consulta a la autoridad de supervisión, antes de iniciar un tratamiento, en aquellos casos en los que la evaluación de impacto permitiese concluir que el tratamiento conllevaría un alto riesgo, si el responsable no toma las medidas para mitigarlo. Debemos entender, que esta «consulta previa» resulta procedente en el caso de que se pudiera producir un riesgo «residual» elevado, después de prever la implementación de medidas para controlar los riesgos detectados, y pese a las cuales tal riesgo para los derechos y las libertades de las personas continua existiendo.

En todo caso, el Reglamento determina la posibilidad de que por las autoridades de control determinen otros supuestos en los que la consulta previa será obligatoria antes de iniciar el tratamiento de los datos, con independencia del resultado de la evaluación.

En función de la resolución a la que llegue la Autoridad de Control, se establecerán las condiciones y medidas que se deben aplicar para llevar a cabo el tratamiento o, si fuese de aplicación, se indicaría que en ningún caso se podrá llevar a cabo. Cuando la Autoridad de Control considere que el tratamiento podría infrigir el RGPD, deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, pudiendo prorrogarse 6 semanas más en función de la complejidaddel tratamiento previsto, previa información de tal prçorroga en el plazo de un mes desde la recepción de la solicitud de consulta, indicando los motivos de la dilación. De todos modos, estos plazos podrán suspenderse hasta que la Autoridad de Control haya obtenido toda la información solicitada a los fines de la consulta.
 

El responsable del tratamiento facilitará a la autoridad de control la siguiente información cuando efectúe una consulta de este tipo:

a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;

d) en su caso, los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos establecida en el artículo 35, y

f) cualquier otra información que solicite la autoridad de control.

De igual modo, si la Autoridad de Control especifica una serie de medidas para poder realizar el tratamiento, será necesario realizar y planificar un plan de acción para implantarlas y evaluar su impacto en el cálculo del riesgo residual futuro.

 

Por su parte, la LOPDGDD indica entre las obligaciones generales de los responsables y encargados del tratamiento, la valoración, en particular, sobre la procedencia o no de realización de la evaluación de impacto y la consulta previa ante la Autoridad de Control.

En último lugar, debemos señalar que, en el caso de que la EIPD resulte obligatoria y esta no sea llevada a efecto, o se hace de una manera insuficiente o inadecuada, los tratamientos quedan expuestos a unos riesgos no detectados. Si no se analizan, ni valoran los riesgos, no se habrán adoptado las medidas que deberían servir para mitigar los efectos negativos que las operaciones de tratamiento pueden tener para los derechos y las libertades de las personas.

En modo alguno se puede obviar lo comentado en el Evaluación de impacto relativa a la protección de datos (EIPD), conforme al incumplimiento de las obligaciones previstas en los Art. 35 y Art. 36 del RGPD, así como la LOPDGDD, y su consideración como una infracción de la normativa.

No hay versiones para este comentario

Autoridad de control de datos
Protección de datos
Obligación de hacer
Evaluación de impacto en protección de datos
Tratamiento de datos personales
Responsable del tratamiento
Agrupaciones de empresas
Delegado de protección
Encargado del tratamiento
Actividades de tratamiento de datos
Incumplimiento de las obligaciones
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)

    Orden: Administrativo Fecha última revisión: 12/02/2019

    Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las pote...

  • Registro de actividades de tratamiento datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    Una de las novedades que presentaba el RGPD era la obligación que esta norma impone a responsables y encargados (o a sus representantes) de mantener un registro de actividades de tratamiento. Así, este registro viene a sustituir la obligación de c...

  • Sistemas de exclusión publicitaria en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 12/02/2019

    Como vimos, el Título IV de la LOPDGDD recoge "Disposiciones aplicables a tratamientos concretos" incorporando una serie de supuestos lícitos (listado no exhaustivo) entre los que encontramos los ficheros de exclusión publicitaria, en su artículo...

  • Funciones y posición del Delegado de Protección de Datos (DPD) en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    Las funciones del delegado de protección de datos y su posición se regulan en los arts. 38 y 39 RGPD, así como en el artículo 36 y 37 de la nueva LOPDGDD.  Funciones del delegado de protección de datos (DPO)El análisis de las funciones del d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados