Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Hace ya algunas semanas analizábamos en nuestra entrada Luces y sombras de la “ventanilla única” (one-stop-shop) bajo el RGPD algunas de las consecuencias menos evidentes que podían tener que asumir empresas que, sin disponer de un establecimiento en la UE, llevaban a cabo tratamientos de datos sujetos al RGPD.
Pues bien, dejando de lado este supuesto que tantos estragos puede llegar a causar, en este artículo nos vamos a centrar en cómo identificar a la autoridad de control principal (“ACP”) cuando sí se dispone de uno o varios establecimientos en la UE. Para ello, resulta imprescindible tener a mano la Guía para determinar la identificación de la Autoridad de Control Principal de un responsable o un encargado del tratamiento (“Guía”) que en su día publicó el Grupo de Trabajo del Artículo 29.
Tal y como indicábamos en nuestra anterior entrega, el elemento fáctico que abre las puertas a la figura de la ACP es la existencia de un tratamiento transfronterizo de datos, definido en el artículo 4 (23) del RGPD como:
“(a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o
(b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente* o es probable que afecte sustancialmente a interesados en más de un Estado miembro.”
(el subrayado es nuestro)
Una vez el responsable / encargado del tratamiento determina que el tratamiento de datos en cuestión tiene cabida en la definición de tratamiento transfronterizo, pueden llegar a darse dos escenarios principales con distintos matices:
El concepto de establecimiento principal se encuentra recogido en el artículo 4(16) del RPGD y, en resumidas cuentas, podría definirse como:
Como se puede observar, tanto para los responsables como para los encargados, el enfoque promovido por el RGPD es el del criterio de la administración central, esto es, considerar el lugar de la administración central como aquel en el que se toman decisiones relativas a los fines y medios del tratamiento de datos y este lugar tiene poder para hacerlas aplicar.
Sin perjuicio del criterio de la administración central, que probablemente resulte de utilidad a fin de solventar las dudas compartidas por la mayoría de responsables / encargados a la hora de determinar la ACP, lo cierto es que algunas organizaciones empresariales pueden llegar a ser extremadamente complejas y, por ende, generar situaciones en las que el establecimiento principal difiera del lugar de la administración central del responsable / encargado. Para estos casos menos evidentes, el considerando (36) del RGPD aclara que el establecimiento principal será aquel en el que se lleva a cabo:
“el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables.”
(el subrayado es nuestro)
Para determinar su establecimiento principal, el responsable / encargado debería plantearse algunas cuestiones adicionales tales como: ¿Dónde se toman las decisiones finales sobre los fines y medios del tratamiento? ¿Dónde se definen las actividades empresariales que conllevan tratamiento de datos? ¿Dónde se encuentra el consejo de administración o el equipo responsable del negocio que origina el tratamiento transfronterizo de datos?…
A la luz de lo anterior, y aunque en teoría el ejercicio consistente en identificar la ACP cuando se dispone de más de un establecimiento en la UE podría parecer bastante sencillo, lo cierto es que esto no ocurre siempre en la práctica, al poder darse escenarios en los que: (i) no se pueda determinar una ACP porque, por ejemplo, el establecimiento principal se encuentra fuera de la UE***; y (ii) en los que exista más de una ACP al disponer el responsable de varios establecimientos en los que, en función de la rama de negocio, se toman las decisiones sobre los fines y medios del tratamiento. Por tanto, a la hora de determinar la ACP debe prestarse especial atención a la estructura empresarial de la compañía en cuestión y a sus procesos de toma de decisión.
Junto a las anteriores situaciones, la Guía ha aclarado como determinar la ACP en los siguientes supuestos:
Para finalizar, y a modo resumen, incluimos a continuación una tabla con preguntas y respuestas más comunes que deberían plantearse para poder determinar la ACP:
*La expresión “afecta sustancialmente” debe ser interpretada caso por caso. A la hora de determinar su significado deberá tenerse en cuenta el contexto del tratamiento, la tipología de datos afectados, el objeto del tratamiento, etc. La Guía ofrece una serie de factores que se pueden tener en cuenta a la hora de interpretar este concepto.
**Tal y como se prevé en el considerando (22) del RGPD, un establecimiento “implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.”
***En cuyo caso, y siempre que se pretenda tener una ACP, la empresa en cuestión debería considerar como su establecimiento principal en la UE a la entidad que tenga autoridad para ejecutar decisiones sobre la actividad del tratamiento y para hacerse responsable de las mismas.