Evaluación de impacto y autorización previa de las autoridades de control en el futuro reglamento europeo de protección de datos personales (2/2)
Categorías: Abogado / Abogados nuevas tecnologías / Agencia Proteccion Datos / Derechos Fundamentales / LOPD / Normativa / Protección de Datos
La semana pasada analizábamos dentro del articulado del «futuro» reglamento europeo de protección de datos la necesidad para determinados tratamientos de datos de un informe de evaluación de impacto del tratamiento de datos que se vaya a realizar. Ahora toca revisar lo correspondiente a la autorización previa de las autoridades de control para diversos tratamientos de datos. Se produce un cambio sustancial, como comentamos, de un sistema de control a posteriori (en caso de inspección, sanción, etc.) o como mucho de consultas a la Agencia Española de Protección de Datos, consultas en su caso que no son vinculantes, se pasa a la necesidad de autorización previa para poner en el mercado el tratamiento de ciertos tipo de datos.
El artículo 34 del reglamento establece cuando será necesario obtener la autorización previa de la autoridad de control, autorización que podrá ser obtenida tanto por el responsable como por el encargado de tratamiento, en su caso, será necesario:
- cuando un responsable o un encargado adopten cláusulas contractuales de transferencias internacionales de datos, o no ofrezcan garantías apropiadas en un instrumento jurídicamente vinculante que rija la transferencia de datos personales a un tercer país o una organización internacional.
- cuando una evaluación del impacto en la protección de los datos indique que es probable que las operaciones de tratamiento, por su naturaleza, alcance o fines, entrañen un elevado nivel de riesgos específicos
- cuando la autoridad de control considere necesario proceder a una consulta previa en relación con las operaciones de tratamiento que probablemente entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance y/o fines, y hayan sido especificadas en una lista realizada por la autoridad de control.
- La autoridad de control establecerá y publicará una lista de las operaciones de tratamiento que deben ser objeto de una consulta previa. La autoridad de control comunicará estas listas al Consejo Europeo de Protección de Datos.