Representant RGPD a la UE
La figura del representant RGPD a la UE segueix sent encara bastant desconeguda malgrat la seva plena vigencia, que es va reforçar amb l’actual article 27 de l’RGPD.
Qui necessita un representant RGPD a la UE?
Aquesta és una obligació per a qualsevol empresa sense establiment permanent a la Unió Europea, i que en el marc de les seves activitats, ofereixi serveis o béns a ciutadans (comunitaris o no) dins de la Unió Europea, amb independència de si aquests serveis o béns són o no de pagament.
A nivell pràctic doncs, empreses i startups de països com els Estats Units o el Regne Unit (des de l’1 de gener de 2021) que ofereixin serveis o productes a residents de la Unió Europea tenen l’obligació de nomenar un representant RGPD.
Aquesta obligació no està relacionada amb el volum de facturació de l’empresa o de les dades tractades, de manera que el necessitarà des d’una gran companyia fins a una petita startup, sempre que compleixi els requisits exposats.
Aquesta previsió es preveu tant pels considerats responsables del tractament (empresa que recullen dades per als seus propis fins) com per als anomenats encarregats del tractament, és a dir aquells proveïdors que tracten o allotgen dades, en nom o per compte dels responsables del tractament.
Quina funció té el representant RGPD a la UE?
Aquest representant RGPD ha de ser una societat o professional amb seu en algun Estat membre de la Unió Europea i, que com el seu nom indica, representa a l’empresa no comunitària que tracta dades de ciutadans europeus.
Entre les seves funcions més destacades es troba la de representar a l’empresa no europea davant les autoritats de control de protecció de dades (com l’AEPD) o atendre les peticions de les persones titulars de les dades, de nou, en representació de l’empresa no comunitària.
És essencial tenir en compte que d’acord a l’RGPD, el representant “designat ha d’estar subjecte a mesures coercitives en cas d’incompliment per part del responsable o de l’encarregat”.
Hi ha alguna formalitat a complir?
Sí, la relació entre el representant RPGD i l’empresa representada ha de quedar formalitzada en un contracte escrit on quedin clarament definides les funcions del representant, així com aspectes com la vigència de la representació i el tipus de tractaments sobre els quals el representant exerceix les seves funcions.
Així mateix la designació del representant s’ha de comunicar a l’autoritat de protecció de dades de l’Estat en què el representant tingui el seu establiment permanent.
Qui pot ser representant?
A diferència de la figura del Delegat de Protecció de Dades, la normativa no exigeix al representant que tingui una formació específica en aquesta matèria.
Dit això, resulta altament recomanable que així sigui doncs, com hem vist, en alguns casos pot respondre dels incompliments duts a terme per l’empresa no comunitària. Res exclou doncs que el representant sigui al seu torn, l’assessor o delegat de Protecció de Dades de l’empresa en les seves activitats dins de la UE.
No hem d’oblidar que el RGPD és també aplicable a empreses no comunitàries que ofereixen serveis i productes a ciutadans europeus, ja que l’obligació d’aquestes empreses no serà només designar un representant, sinó complir el RGPD en tota la seva extensió.
Què passa si no nomeno a un representant?
Curiosament l’RGPD no inclou cap conseqüència sancionadora en cas de no nomenar un representant quan això és necessari.
No obstant això, en països com Espanya, la normativa preveu que la manca de designació de representant, quan sigui obligatòria, tindrà la consideració d’infracció greu (sanció de fins a 10.000.000€ d’una quantia equivalent al 2% com a màxim del volum de negoci total anual global de l’exercici financer anterior, optant per la de major quantia).
Entre les normes específiques a Espanya, també s’inclou l’obligació del representant de mantenir actualitzat el registre d’activitats del tractament de l’empresa no comunitària.
Si necessites un representant RGPD a la Unió Europea, contacta amb nosaltres.
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.