Loading…
O Artigo 27 do GDPR exige que controladores e operadores de fora da UE que ofereçam bens ou serviços a pessoas na UE, ou que monitorem o comportamento de pessoas na UE, designem por escrito um Representante estabelecido em um dos Estados-Membros da UE onde esses titulares de dados se encontram. O Representante é o ponto único de contato para as Autoridades de Controle e os titulares de dados.
Há duas isenções restritas: (1) processamento ocasional e de baixo risco que exclua dados de categoria especial e de condenações criminais, e (2) autoridades e órgãos públicos. Entender mal essas isenções é o erro mais caro que as empresas de fora da UE cometem.
Deixar de designar um Representante é uma violação de categoria 4 do Artigo 83(4) — multas de até €10 milhões ou 2% do faturamento anual global, o que for maior. Várias Autoridades de Controle (CNIL, a APD de Hamburgo, a AEPD da Espanha) têm aplicado ativamente essa regra desde 2021.
O Artigo 27(1) do GDPR estabelece:
"Quando o Artigo 3(2) for aplicável, o controlador ou o operador designará por escrito um representante na União."
Essa breve frase cria uma obrigação operacional significativa. O Artigo 3(2) — a cláusula de escopo extraterritorial — aplica-se sempre que o processamento se refira a: (a) oferta de bens ou serviços a titulares de dados na UE, ou (b) monitoramento do comportamento de titulares de dados na UE.
O Representante é, portanto, um vínculo estrutural ao processamento de fora da UE: uma caixa postal na União, ponto de contato e elo de responsabilização. Situa-se entre suas operações de fora da UE e as 27 Autoridades de Controle nacionais da UE.
Você precisa de um Representante se marcar todos estes quatro itens:
Dois esclarecimentos importam na prática:
O Artigo 27(2) prevê duas isenções restritas:
É isento o processamento que seja (a) ocasional, (b) não inclua, em larga escala, dados de categoria especial nos termos do Artigo 9 ou dados de condenações criminais nos termos do Artigo 10, e (c) seja improvável de resultar em risco aos direitos e liberdades das pessoas físicas, considerando a natureza, o contexto, o âmbito e as finalidades.
As três condições devem ser satisfeitas. As Diretrizes 3/2018 do EDPB são rigorosas quanto ao termo "ocasional" — significa pontual ou esporádico, nunca operações comerciais regulares. Rastreamento contínuo, analytics recorrentes ou qualquer fluxo de dados constante raramente se qualifica.
Autoridades e órgãos públicos não são obrigados a designar um Representante. Essa isenção raramente se aplica a empresas comerciais, mas é relevante para órgãos governamentais estrangeiros, bancos centrais e organizações internacionais.
O Artigo 27(4) define o papel do Representante:
"O representante será mandatado pelo controlador ou operador para ser contatado, além ou em vez do controlador ou do operador, em particular pelas autoridades de controle e pelos titulares de dados, sobre todas as questões relacionadas ao processamento, com a finalidade de assegurar a conformidade com este Regulamento."
Fundamentalmente, o Representante não é um substituto do DPO. Os dois papéis podem ser exercidos por partes diferentes, e a obrigação do DPO (Art. 37) é acionada por critérios distintos.
O Artigo 27(3) exige que o Representante esteja estabelecido em um dos Estados-Membros onde se encontram os titulares de dados cujos dados pessoais estão sendo processados. Na prática, você tem flexibilidade: se seus usuários da UE estão distribuídos por vários Estados-Membros, pode escolher aquele cuja Autoridade de Controle melhor se ajuste ao seu modelo de operação.
Escolhas comuns: Irlanda (idioma inglês, amigável à tecnologia), Alemanha (mais Autoridades de Controle para coordenar, porém rigorosa), Países Baixos (regulador fluente em inglês), França (a CNIL tem forte reputação de fiscalização) e Espanha (a AEPD com fiscalização ativa).
A mecânica:
A identidade e os dados de contato do Representante devem ser comunicados aos titulares de dados (Artigos 13(1)(a) e 14(1)(a)). Concretamente, isso significa incluir o nome, o endereço postal e o e-mail de contato do Representante em:
Deixar de publicar o Representante é, por si só, uma violação das obrigações de transparência (Artigo 12), sujeita a multas de nível inferior nos termos do Artigo 83(4).
O Artigo 27(5) é inequívoco: a designação de um Representante não afeta as ações judiciais que poderiam ser instauradas contra o próprio controlador ou operador. O Representante não assume responsabilidade pelas violações subjacentes do controlador.
No entanto, o Representante pode estar sujeito a ações de fiscalização relacionadas às suas próprias obrigações — disponibilizar os registros, cooperar com as Autoridades de Controle e ser acessível. Um Representante que deixa de cumprir sua função mandatada corre o risco de suspensão pelo controlador que o nomeou e de dano reputacional no mercado de serviços de representação.
Deixar de designar um Representante é uma violação do próprio Artigo 27 — uma violação de categoria 4 nos termos do Artigo 83(4) do GDPR. O teto de multa aplicável é:
A fiscalização tem sido constante desde 2021. Casos notáveis incluem as ações da CNIL contra ad-tech sediadas nos EUA, a investigação de Hamburgo sobre provedores estrangeiros de analytics e as conclusões da AEPD contra redes internacionais de publicidade. Mesmo quando não é a única base de uma multa, a ausência de um Representante frequentemente sinaliza uma lacuna de conformidade mais ampla que agrava as penalidades.
O Artigo 27 do GDPR do Reino Unido espelha a obrigação da UE, mas aplica-se a controladores e operadores de fora do Reino Unido que direcionem suas atividades a indivíduos no Reino Unido. Desde 1º de janeiro de 2021, os Representantes da UE e do Reino Unido são papéis distintos — você precisa de ambos se direciona suas atividades aos dois.
Dica operacional: muitas empresas nomeiam um provedor de representação que oferece representação tanto na UE quanto no Reino Unido por meio de estruturas jurídicas alinhadas, evitando processos duplicados para notificação de violações, comunicação com a ICO/EDPB e consultas de titulares de dados.
Não. O Representante deve estar estabelecido na UE/EEE. A Suíça (apesar da equivalência de sua FADP) está fora do EEE para esse fim. Islândia, Liechtenstein e Noruega se qualificam.
Antes de iniciar o processamento dentro do escopo, em princípio. Na prática, as Autoridades de Controle tratam a nomeação como exigida para estar em vigor antes do processamento substantivo de titulares de dados da UE. A nomeação retroativa não constitui defesa contra o descumprimento passado.
Somente se a entidade satisfizer os requisitos de independência e especialização dos Artigos 37–39. A maioria dos provedores dedicados de representação oferece ambos como serviços separados por meio de equipes distintas, para evitar conflitos.
Você deve designar um substituto e atualizar prontamente seus avisos publicados. Uma lacuna na cobertura do Representante durante o processamento contínuo de titulares de dados da UE é uma violação.
Não. Um único Representante cobre todo o processamento na UE/EEE. O Representante está estabelecido em um Estado-Membro; a escolha de qual Estado-Membro depende de onde seus titulares de dados estão predominantemente localizados.
Não por si só — o provedor de CDN é um operador sujeito às suas próprias obrigações. A questão é se a sua atividade empresarial subjacente direciona ou monitora usuários da UE. A maioria o faz.
A RegulatoryBridge presta serviços de Representante na UE do Artigo 27 e de Representante no Reino Unido em todos os 27 Estados-Membros da UE. Ponto único de contato, suporte multilíngue, preços fixos transparentes e cobertura completa das Autoridades de Controle.