Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Consulta previa a la autoridad de control

Cuando se proyecta una actividad que conlleva el tratamiento de datos personales, el responsable tiene la obligación de analizar, identificar y evaluar los riesgos que para los derechos y libertades de los interesados conlleva, debiendo aplicar las medidas necesarias para eliminar, mitigar, aceptar o trasladar los riesgos asociados a dicha actividad, pero no siempre es fácil mitigarlos y para esos casos está la consulta previa a la autoridad de control.

Consulta previa a la autoridad de control

El procedimiento de consulta previa viene regulado en el artículo 36 del RGPD.

Cuando, en una actividad que implica el tratamiento de datos personales, el responsable identifica mediante una Evaluación de Impacto relativa a la Protección de Datos (EIPD), que existe un alto riesgo para los derechos y libertades de los interesados que no puede mitigar –incluso tras aplicar garantías, medidas de seguridad y mecanismos de protección razonables, considerando la técnica disponible y los costes de implementación– debe realizar una consulta previa a la autoridad de control antes de iniciar el tratamiento.

Procedimiento 

En caso de requerirse la consulta previa, el responsable debe proporcionar a la autoridad de control la siguiente información, conforme al artículo 36, apartado 3, del RGPD:

  • Responsabilidades de los agentes implicados en el tratamiento (responsable, encargados y, en su caso, corresponsables).
  • Fines y medios del tratamiento.
  • Medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
  • Datos de contacto del Delegado de Protección de Datos (DPD), si ha sido designado.
  • La EIPD realizada.
  • Cualquier otra información que solicite la autoridad de control.

Si existen consultas previas realizadas con anterioridad a una autoridad de control, se incluirá una referencia expresa a la respuesta o respuestas dadas.

La documentación aportada debe ser completa y exacta. La solicitud estará firmada por el responsable del tratamiento y se remitirá por el canal de consultas de la AEPD, que encontrarán haciendo clic aquí.

Si tienen la obligación de designar un DPD, no podrán formular ninguna consulta previa mientras no se haya designado y comunicado su designación a la AEPD. No olviden el papel del DPD como punto de contacto con la autoridad de control.

La autoridad de control tiene un plazo de ocho semanas para responder por escrito al responsable y, en su caso, al encargado del tratamiento, pudiendo utilizar sus poderes para prohibir o condicionar el tratamiento. Este plazo podrá prorrogarse seis semanas más en función de la complejidad del caso, informando al responsable y, en su caso, al encargado del tratamiento de la prórroga dentro del primer mes de recepción de la solicitud, indicando los motivos de la dilación. Si la AEPD requiere información adicional, el plazo se suspende hasta su recepción.

La respuesta puede ser favorable (con recomendaciones para mitigar riesgos) o desfavorable (prohibiendo el tratamiento). En el primer caso, el responsable o, en su caso, el encargado del tratamiento deben implementar las recomendaciones y documentarlas.

Excepciones 

El artículo 36, apartado 5, del RGPD establece una excepción a la obligatoriedad de la consulta previa por alto riesgo: cuando el Derecho de la Unión o de los Estados miembros desarrolle normativamente la obligación de consulta y autorización previa para ciertos tratamientos, especialmente aquellos en interés público relacionados con la protección social y la salud pública. A fecha de diciembre de 2025, no se han desarrollado tales obligaciones específicas en el ámbito nacional español.

Régimen sancionador

Iniciar un tratamiento de datos personales sin realizar la consulta previa cuando resulte obligatoria se considera infracción grave (artículo 73 letra u de la LOPDGDD), punible con multas de hasta 10 millones de euros o el 2 % del volumen de negocio total anual global.

Facilitar información inexacta o incompleta a la autoridad de control sobre la actividad de tratamiento se califica como infracción leve (artículo 74 letra o de la LOPDGDD), con multas de hasta 100.000 euros.

Conclusiones

Podría interpretarse que la consulta previa sirve para completar una EIPD o guiar a los responsables o encargados del tratamiento que no logren mitigar los riesgos, pero no es así. Su propósito es orientarles sobre aquellos riesgos que no han sido identificados o mitigados adecuadamente. La autoridad de control no proporciona soluciones detalladas ni realiza auditorías exhaustivas; las medidas concretas deben ser desarrolladas por el responsable o, en su caso, el encargado del tratamiento, basándose en las recomendaciones recibidas. Sobre ellos recae la obligación de validar, revisar y aprobar las medidas implementadas tras la consulta.

La consulta previa se regula con detalle en la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es