Volver

El Representante en la Unión Europea: concepto y funciones.

Publicaciones
17-Dec-20

Desde la publicación del Reglamento (UE) 2016/679 General de Protección de Datos ("RGPD"), la figura del representante en la Unión Europea ha estado rodeada de cierta controversia e inseguridad aplicativa. Sin embargo, resulta conveniente recordar que esta figura ya estaba prevista en la anterior Directiva 95/46/CE y que ya era ampliamente utilizada por los operadores del mercado. La figura del representante en la Unión responde al intento del legislador de facilitar la comunicación de las distintas autoridades de control con aquellos responsables y encargados a quienes, no residiendo en la Unión, en determinadas ocasiones podía resultar complejo dirigirse.

El art. 27 RGPD dispone que los responsables o encargados, a quienes sea de aplicación lo dispuesto en el art. 3.2, deberán designar un representante en la Unión. El art. 3.2 se refiere al supuesto de que, un responsable o encargado no establecido en la Unión Europea, lleve a cabo tratamientos de datos personales de interesados residentes; siempre y cuando las actividades (tanto onerosas o lucrativas como gratuitas) sean ofertadas en la Unión o se refieran a controles de comportamiento ejecutados en la Unión.

En primer lugar, es preciso analizar cuándo resultan de aplicación las disposiciones citadas. Pues bien, el Considerando 22 RGPD se refiere al establecimiento en el sentido de modalidades estables de ejercicio efectivo y real de actividad. Por ello, lo fundamental no es la forma jurídica que revista el establecimiento (filiales o subsidiarias) sino la actividad que éste desarrolle. Debe estimarse una interpretación pacífica con el texto literal de la norma considerar que, aquellas sociedades que estén domiciliadas fuera de la Unión pero que cuenten (en sentido material o funcional) con algún establecimiento dentro de la Unión Europea, no necesitarán designar un representante.

En lo que se refiere a la actividad, a la luz de lo dispuesto en el art. 3.2., resulta trascendental la concurrencia de una acción positiva dentro del territorio de la Unión Europea y que ésta vaya dirigida a interesados residentes en la misma.

Por último, no será necesaria la designación en los siguientes supuestos:

  • Cuando se trate de autoridades públicas
  • Cuando el tratamiento de datos sea ocasional o resulte improbable que entrañe un riesgo para los derechos y libertades del interesado.

El European Data Protection Board ("EDPB") entiende que, a la hora de designar un representante en la Unión, se puede optar tanto por personas físicas como por personas jurídicas. Sin embargo, su recomendación se decanta por la designación de un individuo concreto como destinatario último del mandato.

Para aquellos responsables o encargados del tratamiento que desarrollen actividades en distintos Estados Miembros, el EDPB recomienda como buena práctica (aunque con una, inmediatamente posterior, mención a su carácter no preceptivo) que el representante se encuentre establecido en aquel Estado Miembro en dónde resida un porcentaje considerable de interesados afectados por el tratamiento.

Al margen de estas consideraciones hay que tener presente que una parte considerable de operadores del mercado opta por la designación como responsable de una de sus filiales. Sin embargo, a la luz de las indicaciones del EDPB resulta recomendable que la designación vaya dirigida a terceras personas o entidades que sean fácilmente accesibles.

La designación del representante debe hacerse expresamente por mandato escrito y es habitual que revista la forma de contrato de servicios en el que resulten claramente definidos los limites y contenido del mandato. Esto se debe a que la responsabilidad del representante, ante quien las autoridades de control pueden dirigirse directamente, viene determinada por el cumplimiento de sus obligaciones directas (de naturaleza fundamentalmente contractual). Esta responsabilidad puede derivar en sanciones al representante. Estas sanciones son independientes de las conductas punibles y de las sanciones que se puedan imponer al responsable o encargado por lo mismos actos.

Entre las obligaciones del representante hay que tener presente que la designación del representante debe incluirse entre el contenido del deber de información que establecen los art. 13.1.a) y 14.1.a) RGPD. Por otro lado, en virtud del art. 30, el representante está obligado a llevar un registro de las actividades de tratamiento por lo que resulta fundamental su estrecha colaboración con el encargado o responsable.  

Además, el representante en ejecución del mandato a través del cual haya sido nombrado actuará en nombre del responsable o encargado ante la autoridad de control, lo que le convierte en el punto de cooperación con la misma.

En esta obligación se centra la controversia sobre de la incompatibilidad de las funciones de representante en la Unión y delegado de protección de datos ("DPO" por sus siglas en inglés). Si bien pudiera parecer que pueden tener funciones análogas en lo que se refiere a la cooperación con las autoridades de control, la naturaleza de dicha cooperación es completamente distinta en cada uno de los casos.

La interlocución del representante en la Unión con la autoridad de control se ejecuta en nombre del encargado o responsable por mandato expreso del mismo. Esto implica que, en el marco de esa relación, la autoridad de control puede dirigirse contra el representante tal y como si se estuviera dirigiendo contra el propio responsable o encargado. Esto no solo incluye las comunicaciones con el mismo sino también la adopción de medidas coercitivas (dentro de su ámbito de actuación). En este sentido, la intensidad del deber de cooperación y asistencia del representante con las autoridades de control es sustancialmente menor a la que podría corresponder a un DPO.

En contraposición, la relación que una autoridad de control puede mantener con el DPO se enmarca en todo momento en su función como encargado de garantizar, dentro de la empresa, el cumplimento del RGPD. Así, la comunicación con el DPO se fundamenta en la consideración del mismo como mayor conocedor de la realidad de la empresa en materia de protección de datos.

A estos efectos resulta interesante ver que la independencia que ha de presidir la actuación del DPO, art. 38.3 y considerando 97 RGPD, hace absolutamente incompatible la concurrencia en una misma persona de ese cargo con el de representante; pues éste es, en última instancia, un mandatario regido por el deber de obediencia a su mandante.

Por todo lo expresado consideramos pertinente traer al recuerdo la figura del representante en la Unión Europea, con todos sus condicionantes y repercusiones. Pues entendemos que lo requiere la actualidad debido a que, como ha señalado la Information Commissioner's Office ("ICO"), la ya inminente terminación del periodo de transición a la salida del Reino Unido implicará la necesidad de designación de representante de cara al cumplimiento tanto del RGPD como del próximo UK GDPR.

Luís Rojas, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más