Articulo 40 Tratamiento de datos personales por instituciones, órganos y organismos de la Unión

1. El responsable consultará al Supervisor Europeo de Protección de Datos antes de proceder al tratamiento si una evaluación de impacto relativa a la protección de datos en virtud del artículo 39 muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables teniendo en cuenta la tecnología disponible y los costes de aplicación. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos acerca de la necesidad de una consulta previa.

2. Cuando el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el Supervisor Europeo de Protección de Datos deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de las potestades que le confiere el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará de tal prórroga al responsable y, en su caso, al encargado en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que el Supervisor Europeo de Protección de Datos haya obtenido la información solicitada a los fines de la consulta.

3. Cuando consulte al Supervisor Europeo de Protección de Datos con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:

a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;

d) los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos establecida en el artículo 39; y

f) cualquier otra información que solicite el Supervisor Europeo de Protección de Datos.

4. La Comisión podrá determinar, mediante un acto de ejecución, una lista de los casos en los que los responsables del tratamiento consultarán al Supervisor Europeo de Protección de Datos y recabarán su autorización previa en relación con el tratamiento de datos personales por un responsable en el ejercicio de una función realizada en interés público, en particular el tratamiento de dichos datos en relación con la protección social y la salud pública.