RGPD – Unidad III : 1.2.6 Accountability – Autorización previa o Consultas previas con la Autoridad de Control

1.2 MEDIDAS DE RESPONSABILIDAD PROACTIVA

1.2.6 AUTORIZACIÓN PREVIA O CONSULTAS PREVIAS CON LA AUTORIDAD DE CONTROL

La consulta previa a la Autoridad de control en supuestos de Evaluación de Impacto viene recogida en el art. 36 y en el considerando 94 del RGPD.

 

Artículo 36 Consulta previa

  1. El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 (Evaluación de impacto relativa a la protección de datos) muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
  2. Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58 (Poderes de la Autoridad de Control). Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta.
  3. Cuando consulte a la autoridad de control con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:
    1. en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial;
    2. los fines y medios del tratamiento previsto;
    3. las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;
    4. en su caso, los datos de contacto del Delegado de Protección de Datos;
    5. la evaluación de impacto relativa a la protección de datos establecida en el artículo 35 (Evaluación de impacto relativa a la protección de datos), y
    6. cualquier otra información que solicite la autoridad de control.
  4. Los Estados miembros garantizarán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento.
  5. No obstante lo dispuesto en el apartado 1, el Derecho de los Estados miembros podrá obligar a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.

Es necesario analizar el considerando 94 para identificar cuando es necesaria la realización de la consulta a la Autoridad de control ya que del tenor literal del art. 36 no se identifica exactamente cuándo es necesaria la misma:

(94) Debe consultarse a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.

Requerirá, por tanto, la Consulta previa de la Autoridad de control cuando en aquellos supuestos en los que el responsable de tratamiento considera que en la Evaluación de Impacto el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.

Recibida la consulta la Autoridad de control podrá:

  • Asesorar por escrito al responsable o encargado.
  • Utilizar cualquiera de sus poderes para prohibir el tratamiento.

Por último, además de la consulta o autorización identificada en los supuestos de Evaluaciones de Impacto el RGPD señala que el Derecho Nacional de los Estados miembros podrá establecer consulta y petición de autorización previa en relación con los tratamientos derivados de una misión realizada en interés público por parte del responsable.


CONCLUSIONES

  • Los Estados miembros podrán a través de su derecho nacional someter a consulta o autorización previa de la Autoridad de Control aquellos tratamientos derivados de una misión de interés público.
  • La consulta a la Autoridad de Control deberá realizarse cuando el responsable considere en la Evaluación de Impacto que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.