¿Estás establecido fuera de la UE y tratas datos personales de personas que se encuentren en la Unión, ofreciéndoles bienes o servicios o controlando su comportamiento? Si la respuesta es sí, te interesa leer este artículo pues deberás nombrar a un representante del RGPD.

Qué es un representante del RGPD

Esta figura que ya existía en la Directiva 95/46/CE, ha sido reformada por el RGPD, que lo define en el artículo 4.17 como la:

Persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento.

Se trata, en pocas palabras, de un punto de contacto para autoridades de protección de datos e interesados que debe ser designado por algunos responsables o encargados a quienes aplica el RGPD.

Cuándo debe nombrarse a un representante del artículo 27

Según el artículo 27 del RGPD, deben nombrar a un representante todas las entidades u organizaciones establecidas fuera de la UE que traten datos personales de personas físicas que se encuentren en la Unión Europea, bien poniendo a su disposición bienes o servicios, bien monitorizando su comportamiento en la UE.

No obstante, la ley prevé una excepción, y es que no deberás designar uno cuando concurran los siguientes tres requisitos:

  1. el tratamiento sea ocasional;
  2. no incluya el tratamiento a gran escala de categorías especiales de datos personales o el tratamiento de datos personales relativos a condenas e infracciones penales, y
  3. sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento.

El RGPD establece que su nombramiento tampoco será necesario en esos casos en que el responsable o encargado sea una autoridad u organismo público.

Cómo debe designarse un representante en protección de datos

El RGPD exige que éste sea nombrado por escrito, por lo que no podrá ser nombrado verbalmente. Nada dice acerca de si el nombramiento puede realizarse por medios electrónicos.

Además, la designación del representante debe reflejarse en la política de privacidad y en todos esos avisos legales en que se refleje la información preceptiva de los artículos 13 y 14 del RGPD y no hacerlo supone un incumplimiento de la norma.

Quién puede ser representante del RGPD

El RGPD únicamente exige que el representante esté establecido en uno de los Estados miembros en que estén los interesados cuyos datos personales se estén tratando. Si tratas o puedes tratar datos de todos los que se encuentren en la UE, podrás designar a uno en cualquier Estado miembro de la UE.

Ahora bien, en esos casos en que trates datos personales de individuos que residen en más de un Estado Miembro y la mayoría residan en un Estado, una buena práctica que enfatizó el CEDP en la Opinión 3/2018 sobre el ámbito de aplicación territorial del RGPD (versión para consulta pública), es designar a un representante establecido en ese preciso Estado Miembro donde residen la mayoría de interesados cuyos datos tratas o vas a tratar.

El representante del RGPD puede ser un externo, persona física o jurídica, o también una filial. En el caso de que el representante sea una empresa u organización, es recomendable que esta designe a una persona física para que sea el principal punto de contacto y encargado.

Obligaciones del representante en la UE

El representante actúa bajo las instrucciones del responsable o del encargado del tratamiento y tiene por principal cometido atender a las consultas de las autoridades de protección de datos y de los interesados sobre todos los asuntos relativos al tratamiento de los datos.

Lo anterior significa que, por un lado, el representante deberá ser el principal punto de contacto con los interesados para proporcionarles información sobre el tratamiento y facilitar el ejercicio de sus derechos del RGPD. Por otro lado, el representante también tiene el deber, siguiendo las instrucciones del responsable o encargado, de cooperar con las autoridades de control y poner a su disposición toda la información que estas puedan requerir, incluido el registro de las actividades de tratamiento.

Para la realización de las anteriores funciones existe cierta flexibilidad en la norma, permitiendo al responsable o encargado pactar con el representante si los derechos se atenderán únicamente por el representante o por el responsable o encargado y representante conjuntamente.

Además, el representante del RGPD debe llevar un registro de las actividades de tratamiento y mantenerlo actualizado. Esta es una misión que debe ejercer conjuntamente con el responsable o encargado al que represente, y es que este último tiene la obligación de facilitarle información correcta y actualizada.

Si el servicio de representante es prestado por un externo o una filial, las funciones deberían ser concretadas en un acuerdo de prestación de servicios, delimitándose claramente dónde empiezan y terminan sus servicios.

Finalmente, ten en cuenta que, independientemente de los pactos alcanzados, para el RGPD la responsabilidad última de atender los derechos de protección de datos pesa sobre el responsable del tratamiento.

Responsabilidad del representante del RGPD

El considerando 80 establece que el representante designado “debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado”.

Aunque el artículo 27 no lo dice expresamente, todo indica, y así lo ha confirmado el CEPD y lo han reflejado las legislaciones de los Estados Miembro, que el representante responde por su propia cuenta de los incumplimientos del RGPD que el responsable o encargado realice.

No obstante, un representante que haya sido sancionado o se haya visto obligado a indemnizar a un perjudicado tiene la posibilidad de repetir contra su responsable o encargado mandante. Así lo expresa el Reglamento en el artículo 27.5:

La designación de un representante por el responsable o el encargado del tratamiento se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado.

Lamentablemente, esto puede ser hartamente complicado, pues salvo que en el contrato de prestación de servicios responsable y encargado hayan acordado someter las disputas a jurisdicción o arbitraje en la UE, el representante posiblemente deberá buscar su resarcimiento fuera de la Unión.

En España, el artículo 30 de la LOPDGDD establece la responsabilidad solidaria del representante con el responsable o encargado, tanto frente a posibles sanciones de la AEPD como frente a indemnizaciones de daños y perjuicios a los interesados.

Compatibilidad del representante del RGPD con el cargo de delegado de protección de datos (DPD)  

Si bien no existe una prohibición expresa de ejercer ambas funciones, no parece una práctica aconsejable pues ambos puestos podrían entrar fácilmente en conflicto y en este mismo sentido se ha expresado el CEPD.

El representante actúa siguiendo las instrucciones del responsable o encargado; el delegado de protección de datos actúa con independencia. Ello pone en riesgo la independencia del DPD frente a las peticiones que pueda realizar una autoridad de control en el ejercicio de sus facultades inspectoras.

Además, un DPD tiene su responsabilidad limitada, no responde por los incumplimientos del responsable o encargado a quien presta sus servicios. No puede decirse lo mismo del representante, por lo que parece poco práctico acumular ambas posiciones en la misma persona.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd