QUI HA DE NOMENAR A UN REPRESENTANT A l’efecte de COMPLIMENT DE L’RGPD?

Segons l’article 27 del RGPD (GDPR, per les seves sigles en anglès), han de nomenar un representant en territori de la Unió Europea totes aquelles empreses i organitzacions establertes fora de la UE que ofereixin béns o serveis, o monitoritzin, a persones físiques que es trobin a la Unió Europea i «tractin» les seves dades personals (amb independència de la mida i la facturació actual d’aquestes empreses o organitzacions).

El concepte de «tractar dades personals» és molt ampli i no es limita al fet de «processar» o treure un benefici d’elles, com es podria entendre, sinó que abasta «qualsevol cosa» que es faci amb les dades de les persones: El sol fet de recollir-les, o d’emmagatzemar-les o consultar-les (entre moltes operacions descrites en el propi RGPD), ja es considera «tractament».

La llei només eximeix d’aquesta obligatorietat de nomenar representant a la UE a les autoritats o organismes públics, i a aquelles empreses per a les que el tracte amb les persones de la UE sigui infreqüent i de baix risc:

  • Empreses a les que el tractament sigui ocasional, i
  • que no tractin dades a gran escala, ni de categories especials (salut, ideologia, …), ni relatius a condemnes i infraccions penals, i
  • que sigui improbable que comporti un risc per als drets i llibertats de les persones físiques, atesa la naturalesa, el context, l’àmbit i les finalitats del tractament.

L’incompliment de l’obligació de designar un representant quan l’empresa o organització no està establerta en el territori de la Unió Europea, es considera una infracció greu d’acord amb l’article 27.h del propi RGPD, i és per tant motiu de sanció

És lògic pensar que el petit comerç no tindrà capacitat per afegir un representant a la UE a la seva llista de despeses, i la solució lògica serà agrupar-se en associacions sectorials que aglutinin empreses de fora de la UE amb activitats i tractaments similars de manera que l’empresa que els representi pugui beneficiar-se de l’agregació de riscos i baixar el preu del seu servei.

És igualment lògic pensar que si el risc que assumeix el representant baixa per la (demostrada) confiança que té en el bon fer del seu representat, el preu del servei de representació baixarà igualment. És el mateix que passa o hauria de passar amb les assegurances.

Quin és el risc que assumeixen els representants?

Bàsicament, el risc és que el representant assumirà per compte propi la sanció que l’Administració «tingui a bé» imposar al seu representat, i després podrà reclamársela al seu representat situat fora de la UE si considera que és aquest últim el responsable real de aquesta sanció (o la part correspondent a la responsabilitat que tingui l’empresa de fora de la UE).

La sanció que rep el representant li arribarà per via administrativa, fet que suposa que primer hi haurà de pagar-la i després podrà reclamar-la (el pagament s’ha de fer en qüestió de dies, i la quantitat pot ser apreciable segons sigui la facturació de l’empresa de fora de la UE i la criticitat de la no-conformitat amb el RGPD). No obstant això, quan vulgui repercutir al seu representat aquesta sanció (o part), o la quantitat satisfeta a un Interessat que reclami contra el seu representat, haurà de reclamar al seu representat per la via civil (o penal) en els tribunals que regeixin el seu contracte de representació, i se li restituirà els diners que el representant va avançar a l’Administració quan aquest procediment civil/penal quedi resolt «en ferm» … és a dir, que hi haurà hagut d’avançar els diners de la sanció uns quants mesos, si no anys.

La manca d’atenció pel representant a la Unió del les sol·licituds efectuades per l’autoritat de protecció de dades o pels afectats es considera una infracció greu (article 27.i del RGPD), i és motiu de sanció contra dit representant.

Ressaltar finalment que no només té capacitat sancionadora l’Agència Protecció de Dades de qualsevol dels països de la Unió en la qual es trobin les persones amb les que tracta l’empresa representada, sinó que també les autoritats autonòmiques de protecció de dades podran imposar al representant, solidàriament amb el responsable o encarregat del tractament, les mesures coercitives que estableix el Reglament.

Quines són les funcions del Representant a la UE?

El representant actua sota les instruccions de l’empresa o organització que el contracta i té com a activitat principal l’atendre les consultes i requeriments de les autoritats de protecció de dades i de les persones les dades personals tracta:

  • proporcionar-les informació sobre els tractaments de l’empresa de fora de la UE,
  • facilitar-les l’exercici dels drets que els confereix el RGPD,
  • cooperar amb les autoritats de control i posar a la seva disposició tota la informació que aquestes puguin requerir, i
  • atendre els procediments sancionadors i les seves resolucions.

Les dades de contacte del representant hauran de figurar per tant en el Registre d’Activitats de Tractament (RAT) de l’empresa o organització a la qual representa, així com en la política de privacitat de la mateixa i altra informació que aquesta proporcioni a les persones de la UE amb què tracta.

A més, el representant està obligat a portar la seva pròpia versió del RAT del seu representat, a mantenir-lo actualitzat, i a posar-lo a disposició de l’autoritat de control que ho sol·liciti.

Qualsevol altra funció del representant haurà d’haver quedat reflectida per explícit en el contracte de prestació de serveis que signin tant el representant com el seu representat.