1. O responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35.° indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.

2. Sempre que a autoridade de controlo considerar que o tratamento previsto a que se refere o n.º 1 é suscetível de infringir o presente regulamento, em especial se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente o risco, a autoridade de controlo, no prazo máximo de oito semanas a contar da receção do pedido de consulta, aconselhará por escrito o responsável pelo tratamento e, se for caso disso, o subcontratante, e poderá recorrer a qualquer dos seus poderes referidos no artigo 58.
Esse prazo pode ser prorrogado por seis semanas, tendo em conta a complexidade do tratamento previsto.
A autoridade de controlo informará o responsável pelo tratamento e, se for caso disso, o subcontratante, de qualquer prorrogação no prazo de um mês a contar da receção do pedido de consulta, indicando os motivos do atraso.
Esses prazos podem ser suspensos até que a autoridade de controlo tenha obtido as informações que solicitou para efeitos da consulta.

3. Quando consultar a autoridade de controlo nos termos do n.° 1, o responsável pelo tratamento comunica-lhe os seguintes elementos:

4. Os Estados-Membros consultam a autoridade de controlo durante a preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que esteja relacionada com o tratamento de dados.

5. Não obstante o n.° 1, o direito dos Estados-Membros pode exigir que os responsáveis pelo tratamento consultem a autoridade de controlo e dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública.