Cuando en un tratamiento que cumpla con los principios de protección de datos, en particular el de legitimidad, el responsable identifica, tras la ejecución de la EIPD, que existen riesgos que no haya podido evitar o mitigar suficientemente, deberá realizar una consulta a la Autoridad de Control.
La consulta a la Autoridad de Control no tiene por objeto la obtención de un asesoramiento con relación a aspectos generales del cumplimiento de la normativa de protección de datos (Bases jurídicas, proporcionalidad, necesidad, minimización, información, derechos de los interesados, etc.) ni tampoco obtener la aprobación del tratamiento por parte de la Autoridad de Control.
La respuesta a la consulta previa a la Autoridad de Control tiene por objeto, orientar al responsable con relación a aquellos riesgos que no hubiera sido capaz de identificar o mitigar suficientemente.
Corresponde al responsable llevar a cabo la evaluación de los riesgos que sus tratamientos pudieran implicar para los derechos y libertades de las personas físicas en el contexto del desarrollo de la EIPD.
La Consulta Previa, está regulada en el artículo 36 del Reglamento General de Protección de Datos y el artículo 36 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, sin perjuicio de otras normas específicas que también pudieran contemplarlo y obliga al responsable a consultar a la autoridad de control (Agencia Española de Protección de Datos) antes de proceder al tratamiento, cuando de una evaluación de impacto se muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo o cuando la propia norma lo exija con independencia del riesgo que pudiera haber sido identificado por el responsable.
Para más información puede consultar el apartado web sobre innovación y tecnología