¿Cuándo tendremos que consultar a la AEPD?

¿Cuándo tendremos que consultar a la AEPD?

¿Cuándo tendremos que consultar a la AEPD?

El nuevo reglamento europeo de protección de datos (RGPD) establece, en su artículo 36, una obligación denominada “consulta previa” y que recae sobre el responsable del tratamiento. Esta consulta deberá realizarse, cuando sea oportuno o aconsejable hacerlo, antes de iniciar un tratamiento, pero tienen que darse una serie de condiciones para que resulte obligatorio hacerlo.

La primera consideración que tendríamos que hacer es si el alcance, naturaleza, contexto o fines de nuestro tratamiento entraña un alto riesgo. De no ser así, aquí terminaría nuestra valoración.

En caso contrario, si mediante la evaluación de impacto (EIPD) que hemos debido realizar, y el posterior tratamiento de ese alto riesgo detectado, no hemos conseguido mitigarlo con las medidas puestas en marcha para el tratamiento de ese riesgo, deberíamos realizar una consulta previa al inicio del tratamiento a la autoridad de control correspondiente, en nuestro caso la Agencia Española de Protección de Datos (AEPD), solicitando asesoramiento por escrito.

Cuando la AEPD considere que el tratamiento previsto podría infringir lo dispuesto en el RGPD, deberá asesorar por escrito al responsable o encargado del tratamiento que realizó la consulta en un plazo de ocho semanas. La Agencia podría prorrogar este plazo en hasta seis semanas si la complejidad de la consulta o del tratamiento lo hacen necesario. Esta prorroga deberá ser comunicada al responsable o encargado en el plazo de un mes desde la recepción de la consulta, indicando los motivos. Los plazos podrán quedar en suspenso cuando la AEPD necesite obtener cualquier información necesaria para los fines de la consulta.

Al realizar la consulta, el responsable o encargado del tratamiento deberá facilitar la siguiente información:

  • Responsables, corresponsables y encargados implicados en el tratamiento.
  • Fines y medios previstos del tratamiento.
  • Medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
  • Datos de contacto del DPD, si ha sido designado.
  • Evaluación de Impacto (EIPD).
  • La información adicional que la AEPD solicite.

Os dejo, como siempre, algún enlace sobre el tema:

Juan Ignacio Gutiérrez

Comentarios cerrados.