Loading…
El Artículo 27 del RGPD exige que los responsables y encargados del tratamiento no establecidos en la UE que ofrezcan bienes o servicios a personas en la UE, o que controlen el comportamiento de personas en la UE, designen por escrito a un Representante establecido en uno de los Estados miembros de la UE donde se encuentren dichos interesados. El Representante es el punto de contacto único para las autoridades de control y los interesados.
Existen dos exenciones restringidas: (1) tratamiento ocasional y de bajo riesgo que excluya datos de categorías especiales y datos relativos a condenas e infracciones penales, y (2) autoridades y organismos públicos. Malinterpretar estas exenciones es el error más caro que cometen las empresas no pertenecientes a la UE.
No designar un Representante es una infracción de categoría 4 del Artículo 83(4) — multas de hasta 10 millones EUR o el 2 % del volumen de negocio anual mundial, la cantidad que sea mayor. Varias autoridades de control (la CNIL, la APD de Hamburgo, la AEPD de España) llevan aplicándolo activamente desde 2021.
El Artículo 27(1) del RGPD reza:
"Cuando sea de aplicación el Artículo 3(2), el responsable o el encargado del tratamiento designará por escrito a un representante en la Unión."
Esa breve frase crea una obligación operativa de gran calado. El Artículo 3(2) — la cláusula de ámbito extraterritorial — se aplica siempre que el tratamiento se refiera a: (a) la oferta de bienes o servicios a interesados en la UE, o (b) el control del comportamiento de los interesados en la UE.
El Representante es, por tanto, un anexo estructural al tratamiento no perteneciente a la UE: un buzón en la Unión, un punto de contacto y un nexo de responsabilidad. Se sitúa entre sus operaciones fuera de la UE y las 27 autoridades de control nacionales de la UE.
Necesita un Representante si cumple las cuatro condiciones siguientes:
Dos aclaraciones importan en la práctica:
El Artículo 27(2) prevé dos exenciones restringidas:
Está exento el tratamiento que sea (a) ocasional, (b) no incluya, a gran escala, datos de categorías especiales conforme al Artículo 9 ni datos relativos a condenas e infracciones penales conforme al Artículo 10, y (c) no entrañe probablemente un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines.
Deben cumplirse las tres condiciones. Las Directrices 3/2018 del EDPB son estrictas en cuanto a lo "ocasional" — significa puntual o esporádico, nunca operaciones comerciales habituales. El seguimiento continuo, la analítica recurrente o cualquier flujo de datos continuado rara vez cumple los requisitos.
Las autoridades y organismos públicos no están obligados a designar un Representante. Esta exención rara vez es operativa para las empresas comerciales, pero es relevante para organismos gubernamentales extranjeros, bancos centrales y organizaciones internacionales.
El Artículo 27(4) define la función del Representante:
"El responsable o el encargado del tratamiento encomendará al representante que atienda, junto al responsable o el encargado o en su lugar, en particular a las autoridades de control y a los interesados, todas las cuestiones relativas al tratamiento, a fin de garantizar el cumplimiento del presente Reglamento."
Es fundamental tener en cuenta que el Representante no sustituye a un DPO. Las dos funciones pueden recaer en partes diferentes, y la obligación del DPO (Art. 37) se activa con criterios distintos.
El Artículo 27(3) exige que el Representante esté establecido en uno de los Estados miembros donde se encuentren los interesados cuyos datos personales se traten. En la práctica, tiene flexibilidad: si sus usuarios de la UE están repartidos por varios Estados miembros, puede elegir aquel cuya autoridad de control mejor se ajuste a su modelo operativo.
Opciones habituales: Irlanda (idioma inglés, favorable al sector tecnológico), Alemania (más autoridades de control que coordinar, pero estricta), los Países Bajos (regulador con buen dominio del inglés), Francia (la CNIL tiene una sólida reputación en materia de aplicación) y España (la AEPD, con una aplicación activa).
La mecánica:
La identidad y los datos de contacto del Representante deben comunicarse a los interesados (Artículos 13(1)(a) y 14(1)(a)). En concreto, esto significa incluir el nombre, la dirección postal y el correo electrónico de contacto del Representante en:
No publicar al Representante constituye en sí mismo una infracción de las obligaciones de transparencia (Artículo 12), sujeta a multas de menor cuantía conforme al Artículo 83(4).
El Artículo 27(5) es inequívoco: la designación de un Representante no afecta a las acciones legales que pudieran ejercerse contra el propio responsable o encargado del tratamiento. El Representante no asume responsabilidad por las infracciones subyacentes del responsable.
No obstante, el Representante puede ser objeto de acciones de ejecución relacionadas con sus propias obligaciones — poner a disposición los registros, cooperar con las autoridades de control y ser localizable. Un Representante que no desempeñe la función que se le ha encomendado se arriesga a ser suspendido por el responsable que lo designó y a sufrir daños reputacionales en el mercado de servicios de representación.
No designar un Representante es una infracción del propio Artículo 27 — una infracción de categoría 4 conforme al Artículo 83(4) del RGPD. El límite de multa aplicable es:
La aplicación ha sido constante desde 2021. Entre los casos destacados se encuentran las actuaciones de la CNIL contra empresas de ad-tech con sede en EE. UU., la investigación de Hamburgo a proveedores extranjeros de analítica y las conclusiones de la AEPD contra redes publicitarias internacionales. Incluso cuando no es la única base de una multa, la ausencia de un Representante a menudo señala una brecha de cumplimiento más amplia que agrava las sanciones.
El Artículo 27 del UK GDPR refleja la obligación de la UE, pero se aplica a los responsables y encargados no establecidos en el Reino Unido que se dirijan a personas en el Reino Unido. Desde el 1 de enero de 2021, los Representantes de la UE y del Reino Unido son funciones independientes — necesita ambos si se dirige a ambos territorios.
Consejo operativo: muchas empresas designan un proveedor de representación que ofrece tanto representación en la UE como en el Reino Unido a través de vehículos jurídicos alineados, evitando procesos duplicados para la notificación de brechas, la comunicación con la ICO/EDPB y las consultas de los interesados.
No. El Representante debe estar establecido en la UE/EEE. Suiza (a pesar de la equivalencia de su FADP) queda fuera del EEE a estos efectos. Islandia, Liechtenstein y Noruega sí cumplen los requisitos.
Antes de iniciar el tratamiento incluido en el ámbito de aplicación, en principio. En la práctica, las autoridades de control consideran que la designación debe estar en vigor antes del tratamiento sustantivo de interesados de la UE. La designación retroactiva no constituye una defensa frente al incumplimiento pasado.
Solo si la entidad cumple los requisitos de independencia y experiencia de los Artículos 37–39. La mayoría de los proveedores dedicados de representación ofrecen ambos como servicios separados a través de equipos diferentes para evitar conflictos.
Debe designar un sustituto y actualizar sus avisos publicados sin demora. Una interrupción en la cobertura del Representante durante el tratamiento continuado de interesados de la UE constituye una infracción.
No. Un único Representante cubre todo el tratamiento de la UE/EEE. El Representante está establecido en un solo Estado miembro; la elección de qué Estado miembro depende de dónde se encuentren predominantemente sus interesados.
No por sí solo — el proveedor de la CDN es un encargado del tratamiento con sus propias obligaciones. La cuestión es si su actividad comercial subyacente se dirige a usuarios de la UE o controla su comportamiento. La mayoría lo hace.
RegulatoryBridge presta servicios de Representante en la UE del Artículo 27 y de Representante en el Reino Unido en los 27 Estados miembros de la UE. Punto de contacto único, soporte multilingüe, precios fijos transparentes y cobertura completa de las autoridades de control.