Desde su entrada en vigor en 2016, y más adelante, desde el comienzo de su aplicación directa en mayo de 2018, el RGPD ha incorporado al ordenamiento jurídico europeo en materia de protección de datos el principio de “orientación al riesgo”. Esto significa que las entidades que manejen datos de carácter personal, ya sea como responsables, corresponsables o encargados de tratamiento, tienen la obligación de identificar, analizar y evaluar los riesgos que para los derechos y libertades de los interesados conllevan los distintos tratamientos de datos que realizan y, en consecuencia, aplicar medidas de mitigación o eliminación de dichos riesgos.

En aquellos casos en los que se proyecte un nuevo tratamiento de datos este análisis de riesgos va a tener que ser cualificado en función precisamente del nivel de riesgos que a priori dicho tratamiento implique. Así se consagra la figura de la Evaluación de Impacto relativa a la Protección de Datos (en adelante EIPD), que, con base en el art. 35 del RGPD, deberá llevarse a cabo cuando el tratamiento, servicio o producto proyectado presente a priori un “alto riesgo” para los derechos y libertades de los interesados.

A estas alturas del artículo, el lector ya habrá advertido el entorno de “términos jurídicos indeterminados” en el que se mueven las entidades que desean cumplir con la normativa. Es por ello, que el RGPD incorpora un sistema de consulta previa a la autoridad de control para aquellos supuestos en los que, tras la EIPD, se determina que, a pesar de las medidas identificadas para eliminar, mitigar o trasladar el riesgo no son suficientes.

El art. 36 del RGPD regula la consulta previa entorno a la EIPD. estableciendo que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al art. 35 del RGPD, indique que el tratamiento sometido a evaluación puede entrañar un alto riesgo a pesar de las medidas identificadas en función del análisis de riesgos realizado en el seno de la EIPD. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, existe la vía de la consulta previa a la autoridad de control.

Cabe destacar el límite temporal de la misma ya que debe realizarse antes de poner en práctica el tratamiento sometido a evaluación.

La AEPD ha precisado que »no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».

Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:

»Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».

El art. 36, apartado 3, del RGPD, establece la información que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad de control:

• En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
• Los fines y medios del tratamiento.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Si lo hubiera, los datos de contacto del Delegado de Protección de Datos. Indicar al respecto que el art. 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
• La EIPD completada.
• Cualquier otra información que solicite la autoridad de control.

Debe señalarse, que la LOPDGDD dispone en su artículo 73, letra u) que el incumplimiento de la consulta previa, en los casos previstos a tal efecto, se considera infracción grave, con un plazo de prescripción de dos años.

Pues bien, recientemente, la AEPD ha publicado la Instrucción 1/2021, de 2 de noviembre, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el RGPD, y la LOPDGDD, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

En el capítulo IV se regula la función consultiva específica, contemplada en el art. 36 del RGPD, cuando las conclusiones de una EIPD muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, lo cual supone una ampliación de información respecto a aquella exigida en el art. 36.3 del RGPD. La información requerida para realizar la consulta incluye:

• Identificación del tratamiento y, en su caso, de la versión del mismo a la que corresponde la EIPD.
• Fecha, firma y datos de contacto del responsable del tratamiento, de quien ha elaborado la documentación de la EIPD y, en caso de que exista o deba existir DPD, fecha, firma y datos de contacto del DPD.
• En el caso de que se haya presentado previamente una consulta previa sobre el mismo tratamiento, sumario de las modificaciones introducidas en la naturaleza, contexto, ámbito, fines, riesgos y garantías del tratamiento.
• Descripción del contexto interno y externo de la organización en la que se desenvuelve el tratamiento y la EIPD.
• Identificación inequívoca y datos de contacto de todos los intervinientes en el tratamiento con sus roles.
• Demostración del cumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, de una base jurídica.
• Descripción sistemática del tratamiento.
• Factores que determinan la realización de la EIPD y de la consulta previa.
• Descripción del proceso de gestión formal de los riesgos para los derechos
• Descripción del proceso de gestión formal de los riesgos para los derechos y libertades de los interesados, en particular, la identificación de los factores de riego, su análisis, la evaluación del nivel de riesgo del tratamiento y los mecanismos y garantías introducidos para minimizarlos incluyendo:
• Las medidas establecidas sobre el concepto y diseño del tratamiento,
• Las medidas de gobernanza y políticas de protección de datos,
• Las medidas de protección de datos desde el diseño,
• Las medidas de protección de datos por defecto,
• La relación de activos y las medidas de seguridad para la protección de los derechos y libertades de los interesados.
• En su caso, el análisis de la opinión de los interesados o de sus representantes en relación con el tratamiento previsto.
• La evaluación objetiva y positiva de la necesidad y proporcionalidad del tratamiento.
• Criterios para reevaluar la EIPD y, en su caso, de caducidad del tratamiento.
• Cualquier otra documentación adicional necesaria para proporcionar a la autoridad de control la información completa y exacta sobre el tratamiento.

Por último, se señala que el desarrollo de la documentación de la EIPD deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» publicada en junio de 2021.

Daniel Murcia

Equipo Govertis