En vertu de l’article 27 du Règlement général sur la protection des données (RGPD), la désignation d’un représentant RGPD en Espagne est obligatoire pour les responsables du traitement et les sous-traitants non établis dans l’Union européenne qui traitent des données personnelles de personnes situées en Espagne.
Champ d’application
Cette obligation s’applique aux entreprises non européennes qui :
- offrent des biens ou des services à des personnes en Espagne, ou
- suivent le comportement de personnes en Espagne, par exemple par l’utilisation de technologies de suivi ou de profilage comportemental.
Cette exigence s’applique même si l’entreprise n’a pas de présence physique au sein de l’UE. L’autorité espagnole de protection des données (AEPD) adopte une interprétation stricte de ce champ d’application. Il existe des exceptions limitées, mais elles sont interprétées de manière restrictive. C’est le cas des traitements occasionnels à faible risque, peu susceptible d’affecter les droits et libertés des personnes. En outre, les autorités publiques étrangères sont exemptées, comme le prévoit l’article 27§2 du RGPD.
Missions du représentant
Le représentant de l’UE agit en tant que point de contact officiel dans l’UE pour les personnes concernées et les autorités de contrôle, et est autorisé à recevoir des communications juridiques et administratives au nom du responsable du traitement ou du sous-traitant.
A ce titre, il a pour mission :
- d’agir pour le compte de l’entreprise non membre de l’UE dans le cadre de ses obligations RGPD (article 27 du RGPD) ;
- de recevoir et de répondre aux demandes des personnes concernées, ainsi qu’aux avis et communications juridiques ;
- de coopérer avec les autorités de contrôle dans le cadre d’enquêtes ou d’audits ;
- de tenir à jour la documentation sur la conformité à la protection des données, y compris les registres des activités de traitement, et la preuve du recueil du consentement (articles 27§4 et 30 du RGPD).
Il est important de noter que le RGPD exige que l’identité et les coordonnées du représentant de l’UE soient clairement indiquées dans la politique de confidentialité fournie aux personnes concernées) (articles 13§1(a) et 14§1(a) du RGPD). L’absence de ces informations peut constituer une violation des obligations de transparence du RGPD.
Le représentant de l’UE ne doit pas être confondu avec le délégué à la protection des données (DPO). Alors que le DPO conseille l’organisation en interne sur ses obligations en matière de protection des données et en contrôle le respect, le représentant est, quant à lui, un point de contact externe qui agit dans le cadre d’un mandat et n’exerce pas de fonction de surveillance ou de conseil indépendante.
Exigences spécifiques en Espagne
En Espagne, la désignation du représentant RGPD est une affaire interne entre le responsable du traitement ou le sous-traitant et le représentant désigné. Il n’est pas nécessaire de notifier ou d’enregistrer officiellement ce mandat auprès de l’AEPD.
Toutefois, le représentant doit être en mesure de produire la preuve écrite de son mandat à la demande de l’AEPD, notamment dans le cadre d’une enquête ou d’une mesure d’application de la loi. C’est pourquoi ce mandat doit être dûment signé, daté et conservé par les deux parties afin de pouvoir démontrer le respect de l’article 27 du RGPD.
Bien qu’aucun enregistrement officiel ne soit requis, le représentant doit avoir :
- une présence réelle et opérationnelle en Espagne (surtout si l’entreprise cible des résidents espagnols) ;
- la capacité de gérer les communications en espagnol avec les autorités et les personnes concernées ;
- des ressources techniques et humaines suffisantes pour traiter, dans la pratique, les demandes de protection des données.
Sanctions
La loi organique espagnole 3/2018 sur la protection des données considère que l’absence de désignation d’un représentant lorsque cela est nécessaire constitue une infraction grave.
Une telle violation peut entraîner :
- une amende administrative pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’entreprise, et
- une amende pouvant aller jusqu’à 10 millions d’euros pour avoir fourni des informations incomplètes ou trompeuses à l’AEPD.
Nos services – Assistance complète à la conformité au RGPD en Espagne
Lexing Spain offre une assistance juridique et opérationnelle complète aux entreprises non européennes qui traitent des données personnelles en Espagne, notamment :
- soutien complet dans la désignation d’un représentant RGPD conformément à l’article 27 ;
- assistance pour la documentation et les rapports de conformité ;
- représentation devant l’AEPD et traitement des demandes des personnes concernées ;
- conseils stratégiques sur l’utilisation d’outils d’IA, de cookies, de transferts de données et d’autres questions de traitement des données ;
- désignation comme délégué à la protection des données (DPO) externe si nécessaire.
Contactez Lexing Spain pour vous assurer que les activités de traitement des données de votre entreprise en Espagne sont entièrement conformes et représentées de manière professionnelle.