Última revisión
datos
740 - ¿Debe autorizar previamente la autoridad de control correspondiente el ejercicio de una evaluación de impacto del tratamiento de datos?
Relacionados:
Vademecum: Datos
Fecha última revisión: 31/05/2024
Resumen:
La realización de una EIPD requiere una autorización previa de la autoridad de control. Para ello, el responsable debe reunir una serie de condicionantes: completar la EIPD, que muestre un alto riesgo para los derechos y libertades de las personas y realizar la consulta previa antes de poner en práctica el tratamiento.
El artículo 36 del RGPD regula la consulta previa entorno a la EIPD. La autoridad de control dispondrá de 8 semanas para resolver el asunto, pudiendo suspenderlo temporalmente cuando sea necesario para resolver la consulta.
El artículo 36 del
- Ser el responsable del tratamiento. El artículo 28, apartado 1, de la
LOPDGDD indica que el responsable o el encargado es quien debe valorar si procede la realización de la EIPD y la consulta previa. Asimismo, el artículo 28, apartado 3, letra f), delRGPD contempla que el contrato que rige el tratamiento por el encargado debe estipular, en particular, que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones respecto a la seguridad de los datos personales —en las que se incluye la consulta previa de la EIPD—, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado. - Haber completado la EIPD.
- Que la EIPD muestre un alto riesgo para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo, esto es, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, se activa el procedimiento de consulta previa ante la autoridad de control.
- Límite temporal: debe realizarse antes de poner en práctica el tratamiento.
Concreta la AEPD que «no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».
Asimismo, concreta el apartado 2 del artículo 36 del
«2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».
De este modo, en relación a los plazos en la consulta previa, debe realizarse de modo inmediato tras terminar la EIPD, y la AEPD (autoridad de control en nuestro territorio) dispondrá de ocho semanas para resolver el asunto, pudiendo ampliarlo otras seis semanas en caso de mayor complejidad o suspenderlo temporalmente cuando sea necesario para resolver la consulta.
En concreto, el artículo 57, apartado 1, letra l), del
El artículo 36, apartado 3, del
- En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular, en caso de tratamiento dentro de un grupo empresarial.
- Los fines y medios del tratamiento previsto.
- Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
- Si lo hubiera, los datos de contacto del delegado de protección de datos. Indicar al respecto del artículo 39, apartado 1, letra e), del
RGPD , que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos. - La EIPD completada.
- Cualquier otra información que solicite la autoridad de control.
A TENER EN CUENTA. La información inexacta que se facilite a la autoridad de protección de datos en estos casos de consulta previa está tipificada como infracción leve, a tenor del artículo 74, apartado o), de la
El artículo 36, apartado 4 y 5, del
- Durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
- Cuando el derecho de los Estados miembros obligue a la consulta previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular, el tratamiento en relación con la protección social y la salud pública.