Cuando se proyecta una actividad que conlleva el tratamiento de datos personales, el responsable del tratamiento tiene la obligación de analizar, identificar y evaluar los riesgos que para los derechos y las libertades de los interesados conlleva dicha actividad, debiendo aplicar las medidas que se estimen necesarias para eliminar, mitigar, aceptar o trasladar los riesgos asociados a dicha actividad, pero no siempre es fácil mitigar los riesgos y para esos casos está la consulta previa a la autoridad de control.
Consulta previa a la autoridad de control
Cuando en una actividad que comporta el tratamiento de datos personales, el responsable identifica, a través de la oportuna Evaluación de Impacto relativa a la Protección de Datos (EIPD), que existe un alto riesgo para los derechos y las libertades de los interesados que no puede mitigar, aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en atención a técnica disponible y costes de aplicación, antes de proceder al tratamiento de los datos, deberá realizar una consulta a la autoridad de control.
Procedimiento
En el caso de que deba realizarse la consulta previa, el responsable debe proporcionar a la autoridad de control la siguiente información, de acuerdo al artículo 36 apartado 3 del RGPD:
- Responsabilidades de los agentes implicados en el tratamiento.
- Fines y medios del tratamiento.
- Medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
- Datos de contacto del Delegado de Protección de Datos.
- La evaluación de impacto realizada.
- Cualquier otra información que solicite la autoridad de control.
Si existen consultas previas realizadas con anterioridad a una autoridad de control, se incluirá una referencia expresa a la respuesta o respuestas dadas.
La documentación aportada a la consulta previa deberá garantizar que la información aportada es completa y exacta. La solicitud de consulta previa estará firmada por el responsable del tratamiento y se remitirá por el canal de consultas de la AEPD que encontrarán haciendo clic aquí.
Si tienen la obligación de designar un Delegado de Protección de Datos no podrán formular ninguna consulta previa, en tanto no se haya designado y comunicada su designación a la AEPD. No olviden el papel del Delegado de Protección de Datos como punto de contacto con la autoridad de control.
La autoridad de control tiene un plazo de ocho semanas para responder por escrito al responsable del tratamiento y, en su caso, al encargado, pudiendo utilizar sus poderes para prohibir el tratamiento. El plazo previsto para la resolución podrá prorrogarse seis semanas más en función de la complejidad del caso. La autoridad de control informará al responsable y, en su caso, al encargado del tratamiento de la prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. En el caso de que la autoridad de control requiera al responsable que amplíe la información facilitada en la consulta previa, el plazo de resolución se suspenderá hasta que se reciba la información requerida.
La respuesta a la consulta previa puede ser favorable con recomendaciones o desfavorable, en cuyo caso no se podrá realizar la actividad de tratamiento.
Excepciones
El artículo 36 apartado 5 del RGPD establece una excepción a la condición de que exista un alto riesgo para los interesados que hace obligatoria la consulta previa y son aquellos casos en los que el Estado desarrolla normativamente la obligación de consulta y autorización previa para determinados tipos de tratamiento, específicamente, aquellos relativos al ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública. A la fecha, no se han desarrollado estas obligaciones en el ámbito nacional.
Régimen sancionador
Iniciar un tratamiento de datos personales sin realizar la consulta previa cuando resulte obligatoria se considera infracción grave (artículo 73 letra u de la LOPDGDD).
A su vez, facilitar información inexacta a la autoridad de control sobre la actividad de tratamiento se considera infracción leve (artículo 74 letra o de la LOPDGDD).
Conclusiones
Pudiera pensarse que la consulta previa está para completar las EIPD o para dirigir a los responsables del tratamiento que no hayan conseguido mitigar los riesgos asociados, pero no es así.
La consulta previa tiene por objeto orientar al responsable y, en su caso, al encargado del tratamiento en relación a aquellos riesgos que no hubiera sido capaz de identificar o mitigar suficientemente, pero la autoridad de control no ofrece soluciones concretas, así que no esperen un informe con el detalle y la extensión propia de un proceso de auditoría. Las soluciones las tiene que buscar el responsable o, en su caso, el encargado del tratamiento, en base a las recomendaciones de la autoridad de control, pues sobre estos recae la obligación de validación/revisión/aprobación/seguimiento de las medidas aplicadas en reacción a una consulta previa.
La consulta previa se regula con detalle en la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, que dejo enlazada aquí.