Representante RGPD en la UE
La figura del representante RGPD en la UE sigue siendo aún bastante desconocida a pesar de su plena vigencia, que se reforzó con el actual artículo 27 del RGPD.
¿Quién necesita un representante RGPD en la UE?
Esta es una obligación para cualquier empresa sin establecimiento permanente en la Unión Europea y que, en el marco de sus actividades, ofrezca servicios o bienes a ciudadanos (comunitarios o no) dentro de la Unión Europea, con independencia de si estos servicios o bienes son o no de pago.
A nivel práctico pues, empresas y startups de países como Estados Unidos o el Reino Unido (des del 1 de enero de 2021) que ofrezcan servicios o productos a residentes de la Unión Europea tienen la obligación de nombrar un representante RGPD.
Esta obligación no está relacionada con el volumen de facturación de la empresa o de los datos tratados, por lo que lo necesitará desde una gran compañía hasta una pequeña startup, siempre que cumpla los requisitos expuestos.
Esta previsión se prevé tanto por los considerados responsables del tratamiento (empresa que recogen datos para sus propios fines) como para los llamados encargados del tratamiento, es decir aquellos proveedores que tratan o alojan datos, en nombre o por cuenta de los responsables del tratamiento.
¿Qué función tiene el representante RGPD en la UE?
Este representante RGPD debe ser una sociedad o profesional con sede en algún Estado miembro de la Unión Europea y que, como su nombre indica, representa a la empresa no comunitaria que trata datos de ciudadanos europeos.
Entre sus funciones más destacadas se encuentra la de representar a la empresa no europea ante las autoridades de control de protección de datos (como la AEPD) o atender a las peticiones de las personas titulares de los datos, de nuevo, en representación de la empresa no comunitaria.
Es esencial tener en cuenta que de acuerdo al RGPD, el representante “designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado”.
¿Hay alguna formalidad a cumplir?
Sí, la relación entre el representante RPGD y la empresa representada debe quedar formalizada en un contrato escrito donde queden claramente definidas las funciones del representante, así como aspectos como la vigencia de la representación y el tipo de tratamientos sobre los que el representante desempeña sus funciones.
Así mismo la designación de representante deberá ser comunicada a la autoridad de protección de datos del Estado en que el representante tenga su establecimiento permanente.
¿Quién puede ser representante?
A diferencia de la figura del Delegado de Protección de Datos, la normativa no exige al representante que tenga una formación específica en esta materia. Dicho esto resulta altamente recomendable que así sea pues, como hemos visto, en algunos casos puede responder de los incumplimientos llevados a cabo por la empresa no comunitaria.
Nada excluye pues, que el representante sea a su vez, el asesor o Delegado de Protección de Datos de la empresa en sus actividades dentro de la UE. No debemos olvidar que el RGPD es también aplicable a empresas no comunitarias que ofrecen servicios y productos a ciudadanos europeos pues la obligación de dichas empresas, no será sólo designar un representante, sino cumplir el RGPD en toda su extensión.
¿Qué sucede si no nombro un representante?
Curiosamente el RGPD no incluye ninguna consecuencia sancionadora en caso de no nombrar un representante cuando ello es necesario. Sin embargo, en países como España, la normativa prevé que la falta de designación de representante, cuando sea obligatoria, tendrá la consideración de infracción grave (sanción de hasta 10.000.000€ de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).
Entre las normas específicas en España, también se incluye la obligación del representante de mantener actualizado el registro de actividades del tratamiento de la empresa no comunitaria.
Si necesitas un representante RGPD en la Unión Europea, contacta con nosotros.
Información sobre protección de datos
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.
Derechos
Puedes acceder, rectificar o suprimir los datos, así como ejercer los derechos que se mencionan en nuestra Política de Privacidad.
Más información
Consulta la Política de Privacidad.