El Reglamento General Europeo habilita la posibilidad de que los responsables consultemos a la autoridad de control competente antes de proceder a un tratamiento de datos, si como resultado de la realización de una evaluación de impacto, se muestra que el tratamiento entrañará un alto riesgo si no se toman las medidas necesarias para mitigar dicho riesgo.
El artículo 36.2 del RGPD establece que cuando la autoridad de control considere que el tratamiento previsto podría infringir el RGPD debido, principalmente, a que el responsable no ha identificado o mitigado suficientemente el riesgo. La autoridad de control deberá, en un plazo máximo de ocho semanas desde que se formula la consulta, asesorar por escrito al responsable y al encargado, si procede, en el caso en concreto.
Asimismo, la norma europea lista la información que se deberá facilitar a la autoridad de control para que resuelva convenientemente:
1. se deberán detallar las responsabilidades respectivas del responsable, corresponsales y encargados de tratamiento, especialmente en caso de tratamiento dentro de un grupo empresarial;
2. los fines y medios del tratamiento previsto;
3. las medidas y garantías establecidas para proteger los derechos de los interesados previstos en el RGPD;
4. los datos de contacto del delegado de protección de datos, cuando proceda;
5. cualquier otra información que la autoridad de control pueda solicitar.
Por otro lado, si atendiendo a la complejidad de la consulta, la autoridad necesitara más plazo, se podrá prorrogar hasta en seis semanas más el plazo de ocho semanas antedicho, pero en todo caso la autoridad de control deberá informar a responsable y encargado indicando los motivos de la dilación.
La consulta previa aplicará a los propios Estados miembros, es decir, que el RGPD establece que éstos garantizarán que se consulte a la autoridad de control, durante la elaboración de toda propuesta legislativa o medida reglamentaria y que pueda afectar o se refiera al tratamiento objeto de consulta.
Por último, el RGPD da la posibilidad a los Estados miembros de establecer, en su derecho interno, la obligación de consulta previa en aquellos casos en los que exista un interés público, como por ejemplo, ante tratamientos relacionados con la protección social o salud pública.
