740 - ¿Debe autorizar previamente la autoridad de control correspondiente el ejercicio de una evaluación de impacto del tratamiento de datos?

El artículo 36 del RGPD regula la consulta previa entorno a la EIPD. Así, en este precepto se indica que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al artículo 35 del RGPD, muestre que el tratamiento puede entrañar un alto riesgo si el responsable no toma las medidas suficientes y necesarias para mitigarlo. De este modo, los condicionantes que se deben reunir para acudir a esta vía son:

• Ser el responsable del tratamiento. El artículo 28, apartado 1, de la LOPDGDD indica que el responsable o el encargado es quien debe valorar si procede la realización de la EIPD y la consulta previa. Asimismo, el artículo 28, apartado 3, letra f), del RGPD contempla que el contrato que rige el tratamiento por el encargado debe estipular, en particular, que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones respecto a la seguridad de los datos personales —en las que se incluye la consulta previa de la EIPD—, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado.
• Haber completado la EIPD.
• Que la EIPD muestre un alto riesgo para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo, esto es, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, se activa el procedimiento de consulta previa ante la autoridad de control.
• Límite temporal: debe realizarse antes de poner en práctica el tratamiento.

Concreta la AEPD que «no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».

Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:

«2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».

De este modo, en relación a los plazos en la consulta previa, debe realizarse de modo inmediato tras terminar la EIPD, y la AEPD (autoridad de control en nuestro territorio) dispondrá de ocho semanas para resolver el asunto, pudiendo ampliarlo otras seis semanas en caso de mayor complejidad o suspenderlo temporalmente cuando sea necesario para resolver la consulta. 

En concreto, el artículo 57, apartado 1, letra l), del RGPD señala que incumbe a cada autoridad de control, en su territorio, ofrecer asesoramiento cuando entienda que el tratamiento previsto pueda infringir el RGPD, así como lo indicado en el artículo 58, apartado 3, letra a), del RGPD que fija que cada autoridad de control dispone de todos los poderes de autorización y consultivos relativos al asesoramiento al responsable del tratamiento conforme al procedimiento de consulta previa.

El artículo 36, apartado 3, del RGPD establece que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad:

• En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular, en caso de tratamiento dentro de un grupo empresarial.
• Los fines y medios del tratamiento previsto.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Si lo hubiera, los datos de contacto del delegado de protección de datos. Indicar al respecto del artículo 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
• La EIPD completada.
• Cualquier otra información que solicite la autoridad de control.

A TENER EN CUENTA. La información inexacta que se facilite a la autoridad de protección de datos en estos casos de consulta previa está tipificada como infracción leve, a tenor del artículo 74, apartado o), de la LOPDGDD. 

El artículo 36, apartado 4 y 5, del RGPD recoge que la consulta a la autoridad de control también se realizará:

• Durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
• Cuando el derecho de los Estados miembros obligue a la consulta previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular, el tratamiento en relación con la protección social y la salud pública.