¿Quien debe nombrar a un representante a efectos de cumplimiento del RGPD?
Según el artículo 27 del RGPD (GDPR, por sus siglas en inglés), deben nombrar a un representante todas aquellas empresas y organizaciones establecidas fuera de la UE que ofrezcan bienes o servicios, o monitoricen, a personas físicas que se encuentren en la Unión Europea y «traten» sus datos personales (con independencia del tamaño y la facturación actual de dichas empresas u organizaciones).
El concepto de «tratar datos personales» es muy amplio y no se limita al hecho de «procesarlos» o a sacar un beneficio de ellos, como podría entenderse, sino que abarca «cualquier cosa» que se haga con los datos de las personas: El solo hecho de recogerlos, o de almacenarlos o consultarlos (entre otras muchas operaciones descritas en el propio RGPD), ya se considera «tratamiento».
La ley solo exime de esta obligatoriedad de nombrar representante en la UE a las autoridades u organismos públicos, y a aquellas empresas cuyo trato con las personas de la UE sea infrecuente y de bajo riesgo:
- Empresas cuyo tratamiento sea ocasional, y
- que no traten datos a gran escala, ni de categorías especiales (salud, ideología, …), ni relativos a condenas e infracciones penales, y
- que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, vista la naturaleza, el contexto, el ámbito y los fines del tratamiento.
El incumplimiento de la obligación de designar un representante cuando la empresa u organización no está establecida en el territorio de la Unión Europea, se considera una infracción grave conforme al artículo 27.h del propio RGPD, y es por tanto motivo de sanción.
Es lógico pensar que el pequeño comercio no tendrá capacidad para añadir un representante en la UE a su lista de gastos, y la solución lógica será agruparse en asociaciones sectoriales que aglutinen empresas de fuera de la UE con actividades y tratamientos similares de modo que la empresa que les represente pueda beneficiarse de la agregación de riesgos y bajar el precio de su servicio.
Es igualmente lógico pensar que si el riesgo que asume el representante baja por la (demostrada) confianza que tiene en el buen hacer de su representado, el precio del servicio de representación bajará igualmente. Es lo mismo que sucede o debería suceder con los seguros.
¿Cual es el riesgo que cubren los representantes?
Básicamente, el riesgo radica en que el representante asumirá por cuenta propia la sanción que la Administración «tenga a bien» imponer a su representado, y después podrá reclamársela a su representado ubicado fuera de la UE si considera que es éste último el responsable real de esa sanción (o la parte de la misma cuya responsabilidad resida en la empresa de fuera de la UE).
La sanción que recibe el representante le llegará por vía administrativa, lo que supone que primero habrá de pagarla y luego podrá reclamarla (el pago se ha de hacer en cuestión de días, y la cantidad puede ser apreciable según sea la facturación de la empresa de fuera de la UE y la criticidad de su no-conformidad con el RGPD). Sin embargo, cuando quiera repercutir a su representado dicha sanción (o parte), o la cantidad satisfecha a un Interesado que reclame contra su representado, tendrá que reclamar a su representado por la vía civil (o penal) en los tribunales que rijan su contrato de representación, y se le restituirá el dinero que el representante adelantó a la Administración cuando dicho procedimiento civil/penal quede resuelto «en firme» … es decir, que habrá tenido que adelantar el dinero de la sanción unos cuantos meses, si no años.
La falta de atención por el representante en la Unión del las solicitudes efectuadas por la autoridad de protección de datos o por los afectados se considera una infracción grave (artículo 27.i del RGPD), y es motivo de sanción contra dicho representante.
Resaltar por último que no solo tiene capacidad sancionadora la Agencia Protección de Datos de cualquiera de los países de la Unión en la que se encuentren las personas con las que trata la empresa representada, sino que también las autoridades autonómicas de protección de datos podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas coercitivas que estable el Reglamento.
¿Cuales son las funciones del Representante en la UE?
El representante actúa bajo las instrucciones de la empresa u organización que le contrata y tiene como actividad principal el atender a las consultas y requerimientos de las autoridades de protección de datos y de las personas cuyos datos personales trata:
- proporcionarles información sobre los tratamientos de la empresa de fuera de la UE,
- facilitarles el ejercicio de los derechos que les confiere el RGPD,
- cooperar con las autoridades de control y poner a su disposición toda la información que estas puedan requerir, y
- atender los procedimientos sancionadores y sus resoluciones.
Los datos de contacto del representante habrán de figurar por tanto en el Registro de Actividades de Tratamiento (RAT) de la empresa u organización a la que representa, así como en la política de privacidad de la misma y demás información que esta proporcione a las personas de la UE con las que trata.
Además, el representante está obligado a llevar su propia versión del RAT de su representado, a mantenerlo actualizado, y a ponerlo a disposición de la autoridad de control que lo solicite.
Cualquier otra función del representante deberá haber quedado reflejada por explicito en el contrato de prestación de servicios que firmen tanto el representante como su representado.