Instr.
Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio
 Abrir lector completo
Capítulo CAPÍTULO IV

Art. Quinto

En vigor desde 6 nov 2021
1. Serán objeto de consulta previa las evaluaciones de impacto relativas a la protección de datos (EIPD) de aquellos tratamientos que, cumpliendo con los principios y derechos establecidos en el RGPD, sean de alto riesgo para los derechos y libertades de los interesados, y cuando el responsable no haya podido mitigar o evitar dicho riesgo. Además, también aquellos tratamientos sometidos a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que, cumpliendo con los principios y derechos establecidos en la norma, la EIPD indique que el tratamiento entrañaría un alto nivel de riesgo, a falta de medidas adoptadas por el responsable para mitigar el riesgo o los posibles daños, o cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos. 2. La consulta previa solo se podrá realizar antes de proceder al tratamiento de datos personales, excepto cuando se produzcan en el tratamiento cambios en su naturaleza, alcance, contexto o riesgos que sean ajenos al responsable. 3. En el caso de que haya obligación de designar un DPD, la consulta previa solo se podrá presentar cuando éste haya sido designado y comunicado a la AEPD previamente a la remisión de la consulta. 4. El contenido mínimo para realizar una solicitud de consulta previa incluirá lo exigido en el artículo 36.3 del RGPD: a) «Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial», b) «los fines y medios del tratamiento previsto», c) «las medidas y garantías para proteger los derechos y libertades de los interesados», d) «en su caso, los datos de contacto del delegado de protección de datos», e) «la evaluación de impacto relativa a la protección de datos establecida en el artículo 35, y» f) «cualquier otra información que solicite la autoridad de control». 5. Con relación a la documentación de la evaluación de impacto relativa a la protección de datos establecida en la letra «e» del artículo 36 apartado 3, el contenido mínimo incluirá, al menos: a) Identificación del tratamiento y, en su caso, de la versión del mismo a la que corresponde la EIPD. b) Fecha, firma y datos de contacto del responsable del tratamiento, de quien ha elaborado la documentación de la EIPD y, en caso de que exista o deba existir DPD, fecha, firma y datos de contacto del DPD. c) En el caso de que se haya presentado previamente una consulta previa sobre el mismo tratamiento, sumario de las modificaciones introducidas en la naturaleza, contexto, ámbito, fines, riesgos y garantías del tratamiento. d) Descripción del contexto interno y externo de la organización en la que se desenvuelve el tratamiento y la EIPD. e) Identificación inequívoca y datos de contacto de todos los intervinientes en el tratamiento con sus roles. f) Demostración del cumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, de una base jurídica. g) Descripción sistemática del tratamiento. h) Factores que determinan la realización de la EIPD y de la consulta previa. i) Descripción del proceso de gestión formal de los riesgos para los derechos y libertades de los interesados, en particular, la identificación de los factores de riego, su análisis, la evaluación del nivel de riesgo del tratamiento y los mecanismos y garantías introducidos para minimizarlos incluyendo: i. Las medidas establecidas sobre el concepto y diseño del tratamiento, ii. las medidas de gobernanza y políticas de protección de datos, iii. las medidas de protección de datos desde el diseño, iv. las medidas de protección de datos por defecto, v. la relación de activos y las medidas de seguridad para la protección de los derechos y libertades de los interesados. j) En su caso, el análisis de la opinión de los interesados o de sus representantes en relación con el tratamiento previsto. k) La evaluación objetiva y positiva de la necesidad y proporcionalidad del tratamiento. l) Criterios para reevaluar la EIPD y, en su caso, de caducidad del tratamiento. m) Cualquier otra documentación adicional necesaria para proporcionar a la autoridad de control la información completa y exacta sobre el tratamiento. El desarrollo de la documentación de la EIPD deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» disponible en la web de la AEPD. 6. Las consultas previas deberán estar firmadas por el responsable y tendrán entrada en esta Agencia a través del canal de consultas previas dispuesto por la AEPD en su sede electrónica. 7. No tendrán consideración de consulta previa la documentación remitida sobre tratamientos que en los que no se cumplen los apartados del 1 al 6 de este artículo.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli/es/ins/2021/11/02/1#quinto

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil