Determinación de la Autoridad de Control Principal y “ventanilla única” (one-stop-shop)

Hace ya algunas semanas analizábamos en nuestra entrada Luces y sombras de la “ventanilla única” (one-stop-shop) bajo el RGPD algunas de las consecuencias menos evidentes que podían tener que asumir empresas que, sin disponer de un establecimiento en la UE, llevaban a cabo tratamientos de datos sujetos al RGPD.

Pues bien, dejando de lado este supuesto que tantos estragos puede llegar a causar, en este artículo nos vamos a centrar en cómo identificar a la autoridad de control principal (“ACP”) cuando  se dispone de uno o varios establecimientos en la UE. Para ello, resulta imprescindible tener a mano la Guía para determinar la identificación de la Autoridad de Control Principal de un responsable o un encargado del tratamiento (“Guía”) que en su día publicó el Grupo de Trabajo del Artículo 29.

Tal y como indicábamos en nuestra anterior entrega, el elemento fáctico que abre las puertas a la figura de la ACP es la existencia de un tratamiento transfronterizo de datos, definido en el artículo 4 (23) del RGPD como:

“(a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

(b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente* o es probable que afecte sustancialmente a interesados en más de un Estado miembro.

(el subrayado es nuestro)

Una vez el responsable / encargado del tratamiento determina que el tratamiento de datos en cuestión tiene cabida en la definición de tratamiento transfronterizo, pueden llegar a darse dos escenarios principales con distintos matices:

  • Escenario 1 − El responsable / encargado del tratamiento dispone de un único establecimiento** en la UE: en este caso será muy sencillo determinar la ACP dado que vendrá determinada por el estado de la UE donde se encuentra el establecimiento del responsable / encargado; o
  • Escenario 2 − El responsable / encargado del tratamiento dispone de más de un establecimiento en la UE: en este caso, a la hora de determinar la ACP habrá que tener en cuenta donde se encuentra el establecimiento principal del responsable / encargado.

El concepto de establecimiento principal se encuentra recogido en el artículo 4(16) del RPGD y, en resumidas cuentas, podría definirse como:

  • El lugar de administración central en la UEsalvo que las decisiones sobre los fines y medios del tratamiento se tomen en otro establecimiento del responsable en la UE y este último establecimiento tenga el poder de hacer aplicar dichas decisiones; o
  • El lugar de administración central en la UE o, en ausencia de éste, el establecimiento del encargado en la UE donde se realicen las principales actividades del tratamiento.

Como se puede observar, tanto para los responsables como para los encargados, el enfoque promovido por el RGPD es el del criterio de la administración central, esto es, considerar el lugar de la administración central como aquel en el que se toman decisiones relativas a los fines y medios del tratamiento de datos y este lugar tiene poder para hacerlas aplicar.

Sin perjuicio del criterio de la administración central, que probablemente resulte de utilidad a fin de solventar las dudas compartidas por la mayoría de responsables / encargados a la hora de determinar la ACP, lo cierto es que algunas organizaciones empresariales pueden llegar a ser extremadamente complejas y, por ende, generar situaciones en las que el establecimiento principal difiera del lugar de la administración central del responsable / encargado. Para estos casos menos evidentes, el considerando (36) del RGPD aclara que el establecimiento principal será aquel en el que se lleva a cabo:

el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento a través de modalidades estables.

(el subrayado es nuestro)

Para determinar su establecimiento principal, el responsable / encargado debería plantearse algunas cuestiones adicionales tales como: ¿Dónde se toman las decisiones finales sobre los fines y medios del tratamiento? ¿Dónde se definen las actividades empresariales que conllevan tratamiento de datos? ¿Dónde se encuentra el consejo de administración o el equipo responsable del negocio que origina el tratamiento transfronterizo de datos?…

A la luz de lo anterior, y aunque en teoría el ejercicio consistente en identificar la ACP cuando se dispone de más de un establecimiento en la UE podría parecer bastante sencillo, lo cierto es que esto no ocurre siempre en la práctica, al poder darse escenarios en los que: (i) no se pueda determinar una ACP porque, por ejemplo, el establecimiento principal se encuentra fuera de la UE***; y (ii) en los que exista más de una ACP al disponer el responsable de varios establecimientos en los que, en función de la rama de negocio, se toman las decisiones sobre los fines y medios del tratamiento. Por tanto, a la hora de determinar la ACP debe prestarse especial atención a la estructura empresarial de la compañía en cuestión y a sus procesos de toma de decisión.

Junto a las anteriores situaciones, la Guía ha aclarado como determinar la ACP en los siguientes supuestos:

  • Corresponsables del tratamiento: para estos casos, los corresponsables deberán acordar qué establecimiento tendrá el poder de ejecución de las decisiones relativas al tratamiento. Dicho establecimiento tendrá la consideración de establecimiento principal;
  • Responsable – Encargado: para aquellos tratamientos en los que intervengan un responsable y uno o varios encargados, la ACP será aquella en la que se encuentre el establecimiento principal del responsable. En esta situación, la autoridad de control del encargado será lo que se ha venido a denominar “autoridad de control interesada” y deberá participar en los procedimientos de cooperación previstos en el artículo 60 del RGPD.

Para finalizar, y a modo resumen, incluimos a continuación una tabla con preguntas y respuestas más comunes que deberían plantearse para poder determinar la ACP:

17 table

 


*La expresión “afecta sustancialmente” debe ser interpretada caso por caso. A la hora de determinar su significado deberá tenerse en cuenta el contexto del tratamiento, la tipología de datos afectados, el objeto del tratamiento, etc. La Guía ofrece una serie de factores que se pueden tener en cuenta a la hora de interpretar este concepto.

**Tal y como se prevé en el considerando (22) del RGPD, un establecimiento “implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto.”

***En cuyo caso, y siempre que se pretenda tener una ACP, la empresa en cuestión debería considerar como su establecimiento principal en la UE a la entidad que tenga autoridad para ejecutar decisiones sobre la actividad del tratamiento y para hacerse responsable de las mismas.

 

 

Escrito por Víctor Mella y Laur Badin

 

This website is operated by Hogan Lovells International LLP, whose registered office is at Atlantic House, Holborn Viaduct, London, EC1A 2FG. For further details of Hogan Lovells International LLP and the international legal practice that comprises Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses ("Hogan Lovells"), please see our Legal Notices page. © 2024 Hogan Lovells.

Attorney advertising. Prior results do not guarantee a similar outcome.