Protección de datos personales

Representante en la UE según el RGPD: cuándo, cómo y para qué

representante ue / representative eu

¿Estás establecido fuera de la UE y tratas datos personales de personas que se encuentren en la Unión, ofreciéndoles bienes o servicios o controlando su comportamiento? Si la respuesta es sí, debes nombrar a un representante en la Unión. Te lo explicamos todo a continuación.

 

¿Cuándo debe nombrarse a un representante según el RGPD?

Según el artículo 27 del RGPD, deben nombrar a un representante todas las entidades u organizaciones establecidas fuera de la UE que traten datos personales de personas físicas que se encuentren en la Unión Europea, bien poniendo a su disposición bienes o servicios, bien monitorizando su comportamiento en la UE.

No obstante, la ley prevé una excepción, y es que no deberás designar uno cuando concurran los siguientes tres requisitos:

  1. el tratamiento sea ocasional;
  2. no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y
  3. sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento.

El RGPD establece que su nombramiento tampoco será necesario en esos casos en que el responsable o encargado sea una autoridad u organismo público.

 

¿Cómo debe designarse a un representante en la Unión?

El RGPD exige que éste sea nombrado por escrito, por lo que no podrá ser nombrado verbalmente. Nada dice acerca de si el nombramiento puede realizarse por medios electrónicos.

 

¿Quién puede ser representante del artículo 27?

El RGPD únicamente exige que el representante esté establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se estén tratando. Si tratas o puedes tratar datos de todos los que se encuentren en la UE, podrás designar a uno en cualquier Estado miembro de la UE.

El representante puede ser un externo, persona física o jurídica, o también una filial.

 

¿Qué funciones tiene el representante en protección de datos?

El representante actúa bajo las instrucciones del responsable o del encargado del tratamiento y tiene por principal cometido atender a las consultas de las autoridades de protección de datos y de los interesados sobre todos los asuntos relativos al tratamiento de los datos, bien junto al responsable o al encargado, o en su lugar.

Además, debe llevar un registro de las actividades de tratamiento y mantenerlo actualizado y tiene el deber, siguiendo las instrucciones del responsable o encargado, de cooperar con las autoridades de control y poner a su disposición toda la información que estas puedan requerir, incluido el registro de las actividades de tratamiento.

Si el servicio de representante es prestado por un externo o una filial, las funciones deberían ser concretadas en un acuerdo de prestación de servicios, delimitándose claramente dónde empiezan y terminan sus servicios.

 

¿Cuál es la responsabilidad del representante?

El considerando 80 establece que el representante designado “debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado”. El Proyecto de Ley Orgánica de Protección de Datos declara en su artículo 30.2 su responsabilidad solidaria con el responsable o encargado.

Todo indica que el representante responde por su propia cuenta de los incumplimientos del RGPD que el responsable o encargado realice, si bien el Reglamento también le deja abierta la posibilidad de repetir en el artículo 27.5: “la designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado”. Esto puede ser hartamente complicado, pues salvo que en el contrato de prestación de servicios responsable y encargado hayan acordado someter las disputas a jurisdicción o arbitraje en la UE, el representante posiblemente deberá buscar su resarcimiento fuera.

 

¿Puede un representante ser también DPO?  

Si bien no existe una prohibición expresa de ejercer ambas funciones, no parece una práctica aconsejable pues ambos puestos podrían entrar fácilmente en conflicto.

El representante actúa siguiendo las instrucciones del responsable o encargado; el DPO actúa con independencia. Ello pone en riesgo la independencia del DPO frente a las peticiones que pueda realizar una autoridad de control en el ejercicio de sus facultades inspectoras.

Además, un DPO tiene su responsabilidad limitada, no responde por los incumplimientos del responsable o encargado a quien presta sus servicios. No puede decirse lo mismo del representante, por lo que parece poco práctico acumular ambas posiciones en la misma persona.

 


Foto de cabecera por Max Pixel

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *