Aunque tímidamente la figura del responsable se asoma en el panorama de tratamiento de datos personales de los europeos.
La Autoridad Holandesa de Protección de Datos (Dutch DPA, en inglés), ha impuesto 525 mil euros de multa a LocateFamily por no nombrar un representante en la Unión Europea. Convirtiéndose así, en la primera por esta causa.
Pero expliquemos un poco el caso primero. Locate Family es un sitio extracomunitario que brinda un servicio parecido al tablón de anuncios, publicando los datos personales y de contacto de personas alrededor del mundo. Cualquiera puede, desde cualquier parte del mundo, acceder a ellos. Sin embargo, muchos de aquellos cuyos datos fueron publicados, no tienen conocimiento, ni brindaron su consentimiento para ello..
Esto, obviamente, visto desde la lente del Reglamento General de Protección de Datos, es ilegal. Y tras recibir múltiples reclamaciones, y comprobar que 700 mil ciudadanos de los Países Bajos fueron afectados, la Autoridad de Control de Países Bajos ha decidido tomar cartas en el asunto.
Por qué es necesario un representante para entidades extracomunitarias
El objetivo de la autoridad, en este caso, sería que esta empresa proceda a nombrar un representante, por medio del cual se puedan comunicar, tanto las autoridades como los ciudadanos. Así, darles a estos la oportunidad de ejercitar sus derechos y permitir la supervisión de las autoridades de una manera más sencilla. Porque, en la medida en que no existe un representante en la Unión Europea, resulta bastante complicado resguardar la protección de datos de los ciudadanos europeos.
Es que aunque una compañía no se encuentre en los límites de la UE, sino en un tercer estado, siempre que maneje datos de ciudadanos europeos de forma no incidental, debe cumplir con el RGPD. Precisamente para facilitar el cumplimiento de las obligaciones para con interesados y autoridades públicas por parte del responsable y el encargado de tratamiento, se regula la figura del representante.
Las pocas referencias normativas al representante
Ahora bien, muchos os estaréis preguntando: ¿pero y esto del representante del responsable (o del encargado) qué es? La normativa no lo aclara mucho. El artículo 27 del RGPD es el único que se refiere específicamente a esta figura y no es que se explaye mucho sobre su definición aparte de algunas menciones. Dice que atenderá junto con el responsable o el encargado a las consultas de las autoridades de control y de los interesados los asuntos relativos al tratamiento.
Tampoco en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se define con claridad ni se hace un desarrollo sobre esta materia. La única mención al representante del responsable o encargado, es sobre las multas que se le pueden imponer. Algo que ya se recogía en el Reglamento de medidas urgentes para la adaptación de nuestra normativa al Reglamento General de Protección de Datos.
Según estas pocas referencias, entre las obligaciones del representante, sin perjuicio de las contractuales con el responsable o encargado, está cumplir el RGPD en el tratamiento de datos. Por otro lado, tiene un deber de cumplir con el derecho de información de los ciudadanos, es decir, de facilitarles conocimiento sobre cómo se tratan sus datos. Así como colaborar con ellos en las consultas que puedan realizar y en el ejercicio de sus derechos. Además, es la entidad encargada de comunicarse con las autoridades de control.
Por qué no hay muchos representantes, a pesar de ser exigidos por la normativa
Pero, ¿por qué actualmente no existen muchos representantes del responsable o encargado designados por empresas extracomunitarias? Primero, por desconocimiento. Lógicamente, los asesores de una empresa externa a la UE y que trata datos de los europeos, no conocen el RGPD, aunque deberían, por la naturaleza de su trabajo. Lo más probable es que se hayan formado en el derecho del lugar donde ejercen.
Además, el concepto de datos personales no tiene el mismo alcance en la Unión Europea que, por ejemplo, en EEUU. Lo cual origina múltiples malentendidos para responder por el incumplimiento, porque, por ejemplo, no tienen registro actividades de tratamiento, no responden a las consultas, etcétera.
Y, como decíamos, el representante está sujeto a medidas coercitivas en caso de incumplimiento, lo cual lógicamente, causa temor a quienes podrían actuar como tal. Pero es una necesidad, porque el comercio cada vez es más global, y hay muchas transnacionales que tratan datos de los europeos.
Las empresas extracomunitarias también pueden, como en este caso, recibir multas por no nombrar representantes. Sin contar con que una figura así resulta útil para la reputación de la empresa que trata los datos, mostrándose transparente y respetuosa de los derechos de los ciudadanos.
Finalmente, esperemos que esto se desarrolle a nivel normativo, porque, a nivel contractual, el representante del responsable del encargado podría establecer indemnidades y entendemos que solo la falta de normativa de desarrollo frena la expansión de esta figura. Con estas indemnidades ya se mitigaría que el incumplimiento del responsable o del encargado supongan un perjuicio al representante. Es una oportunidad abierta, más aún con la presión actual por parte de las autoridades de control para el nombramiento de estos representantes.