Articulo 28 Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penal
Artículo 28. Consulta previa a la autoridad de control
1. Los Estados miembros velarán por que el responsable o el encargado del tratamiento consulte a la autoridad de control antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero que haya de crearse, cuando:
a) la evaluación del impacto en la protección de los datos que prevé el artículo 27 indique que el tratamiento entrañaría un alto riesgo a falta de medidas adoptadas por el responsable a fin de mitigar el riesgo, o
b) el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, constituya un alto riesgo para los derechos y libertades de los interesados.
2. Los Estados miembros dispondrán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que deba ser adoptada por un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que guarde relación con el tratamiento.
3. Los Estados miembros dispondrán que la autoridad de control pueda establecer una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1.
4. Los Estados miembros dispondrán que el responsable del tratamiento facilite a la autoridad de control la evaluación de impacto relativa a la protección de datos contemplada en el artículo 27 y, previa solicitud, cualquier información adicional que permita a la autoridad de control evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales del interesado y las garantías correspondientes.
5. Los Estados miembros dispondrán que, cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 del presente artículo podría infringir lo dispuesto en la presente Directiva, en particular cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el riesgo, dicha autoridad de control deberá, en un plazo de seis semanas desde la solicitud de la consulta, asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, y podrá ejercer cualquiera de sus poderes mencionados en el artículo 47. Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado, de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.