Consulta previa al inicio de tratamientos de riesgo alto (art. 36 RGPD)


Este trámite electrónico está dirigido exclusivamente a responsables del tratamiento (en adelante, responsables) cuya Evaluación de Impacto relativa a la Protección de Datos (en lo siguiente, EIPD) muestre que el tratamiento sigue teniendo un alto riesgo para los derechos y libertades de los interesados aún tras aplicar las garantías, medidas de seguridad y mecanismos de protección razonables en cuanto a técnica disponible y costes de aplicación.


No es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente.


La Consulta Previa, está regulada en el artículo 36 del Reglamento General de Protección de DatosNueva ventana y el artículo 36 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penalesNueva ventana , sin perjuicio de otras normas específicas que también pudieran contemplarlo y obliga al responsable a consultar a la autoridad de control (Agencia Española de Protección de Datos) antes de proceder al tratamiento , cuando de una evaluación de impacto se muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo o cuando la propia norma lo exija con independencia del riesgo que pudiera haber sido identificado por el responsable.


Las solicitudes de consulta previa deben reunir los requisitos mínimos que exige la Instrucción 1/2021Nueva ventana , de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.


Para más información sobre los requisitos mínimos que exige la Instrucción 1/2021 en su Capítulo IV relativos a las consultas previas, puede consultar el apartado de gestión del riesgo y evaluación de impactoNueva ventana relativa a la protección de datos en el Área de Actuación de Innovación y TecnologíaNueva ventana de la web de la Agencia Española de Protección de Datos donde, entre otros recursos de ayuda, se encuentran a disposición del responsable la Guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personalesNueva ventana , una Lista de verificación para determinar la adecuación formal de una EIPD y la presentación de consulta previaNueva ventana y modelos de informe para consulta previa para el sector públicoNueva ventana y privado.Nueva ventana


Resultan condiciones imprescindibles para acceder al trámite:

- Ser el responsable del tratamiento

- Haber completado una EIPD

- Que la EIPD muestre un riesgo alto para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo