Consulta previa
Última modificación:
Cuando en un tratamiento que cumpla con los principios de protección de datos, en particular el de legitimidad, el responsable identifica, tras la ejecución de la EIPD, que existen riesgos que no haya podido evitar o mitigar suficientemente, deberá realizar una consulta a la Autoridad de Control.
La consulta a la Autoridad de Control no tiene por objeto la obtención de un asesoramiento con relación a aspectos generales del cumplimiento de la normativa de protección de datos (Bases jurídicas, proporcionalidad, necesidad, minimización, información, derechos de los interesados, etc.) ni tampoco obtener la aprobación del tratamiento por parte de la Autoridad de Control.
La respuesta a la consulta previa a la Autoridad de Control tiene por objeto, orientar al responsable con relación a aquellos riesgos que no hubiera sido capaz de identificar o mitigar suficientemente.
Corresponde al responsable llevar a cabo la evaluación de los riesgos que sus tratamientos pudieran implicar para los derechos y libertades de las personas físicas en el contexto del desarrollo de la EIPD.
La Consulta Previa, está regulada en el artículo 36 del Reglamento General de Protección de Datos y el artículo 36 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, sin perjuicio de otras normas específicas que también pudieran contemplarlo y obliga al responsable a consultar a la autoridad de control (Agencia Española de Protección de Datos) antes de proceder al tratamiento, cuando de una evaluación de impacto se muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo o cuando la propia norma lo exija con independencia del riesgo que pudiera haber sido identificado por el responsable.
Las solicitudes de consulta previa deben reunir los requisitos mínimos que exige la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.
Para más información sobre los requisitos mínimos que exige la Instrucción 1/2021 en su Capítulo IV relativos a las consultas previas, puede consultar el apartado de gestión del riesgo y evaluación de impacto relativa a la protección de datos en el Área de Actuación de Innovación y Tecnología de la web de la Agencia Española de Protección de Datos donde, entre otros recursos de ayuda, se encuentran a disposición del responsable la Guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales, una Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previa y modelos de informe para consulta previa para el sector público y privado.
Para más información puede consultar el apartado web sobre innovación y tecnología de la AEPD