Brexit y doble representante: ¿necesito uno en UK y otro en la UE?

Índice de Contenidos
Imagina que tienes una casa en dos países distintos. En cada una, necesitas un vecino que reciba tus cartas cuando no estás. Pues con el GDPR y el UK-GDPR pasa exactamente eso: si tu empresa está fuera del Reino Unido y de la UE, y tratas datos de personas en ambos territorios, necesitas un representante en cada uno. No es un capricho burocrático, es la ley.
¿Qué ha cambiado con el Brexit?
Antes del Brexit, el Reino Unido formaba parte de la UE, así que un solo representante en la UE valía para todo el Espacio Económico Europeo (EEE). Pero desde el 1 de enero de 2021, el Reino Unido es un país tercero a efectos de protección de datos. Esto significa que el GDPR europeo y el UK-GDPR son dos regímenes distintos, cada uno con su propia exigencia de representante.
Si tu empresa está establecida fuera del Reino Unido y fuera de la UE, y ofreces bienes o servicios a personas en el Reino Unido, o supervisas su comportamiento, estás obligado a nombrar un representante en el Reino Unido según el artículo 27 del UK-GDPR. Y si también tratas datos de personas en la UE, necesitas otro representante en la UE bajo el artículo 27 del GDPR europeo.
Featured Snippet: ¿Cuándo necesito un representante en UK y otro en la UE?
Necesitas un representante en el Reino Unido si tu empresa no está establecida en el Reino Unido pero tratas datos de personas que están allí, y no tienes un establecimiento en el Reino Unido. Lo mismo aplica para la UE: si no tienes presencia en la UE pero tratas datos de personas en la UE, necesitas un representante en la UE. Si cumples ambas condiciones, necesitas dos representantes.
Excepciones que te salvan
No todo el mundo necesita representante. Si tu tratamiento de datos es ocasional, no incluye categorías especiales de datos (como salud, religión, etc.) ni datos de condenas penales, y es poco probable que suponga un riesgo para los derechos y libertades de las personas, puedes estar exento. Pero ojo: la exención es muy restrictiva. En la práctica, la mayoría de las empresas que tratan datos de forma regular no se libran.
Además, si tu empresa tiene un establecimiento en el Reino Unido (por ejemplo, una sucursal), ese establecimiento actúa como tu representante de facto, y no necesitas nombrar uno adicional. Lo mismo para la UE: si tienes una oficina en cualquier país de la UE, esa oficina es tu representante.
¿Puedo nombrar al mismo representante para ambos?
Técnicamente, sí, pero no es recomendable. El representante debe estar establecido en el territorio donde se aplica la ley. Es decir, para el UK-GDPR, el representante debe estar en el Reino Unido. Para el GDPR de la UE, debe estar en la UE. Una misma persona jurídica podría tener oficinas en ambos lugares y actuar como representante para ambos regímenes, pero entonces estarías hablando de dos representantes distintos (uno en UK y otro en la UE), aunque sean de la misma empresa. No puedes tener un único representante en, digamos, Irlanda que cubra también el Reino Unido, porque el UK-GDPR exige presencia física en el Reino Unido.
Así que, a efectos prácticos, necesitas dos representantes separados, a menos que tu empresa tenga un establecimiento en uno de los territorios que ya cumpla esa función.
Consecuencias de no nombrar representante
No nombrar representante cuando es obligatorio puede costarte multas de hasta 10 millones de euros o el 2% de tu facturación anual global, lo que sea mayor, bajo el GDPR. Bajo el UK-GDPR, las multas son similares: hasta 17,5 millones de libras o el 4% de la facturación global. Además, sin representante, las autoridades de protección de datos pueden dirigir sus investigaciones directamente contra ti, lo que complica la defensa.
Así que, si tu negocio opera en ambos lados del Canal de la Mancha, no escatimes: nombra a tus dos representantes. Es como tener un seguro: esperas no usarlo, pero si pasa algo, te alegras de tenerlo.
FAQ
¿Puedo ser mi propio representante si tengo una oficina en UK o UE?
Sí, si tu empresa tiene un establecimiento en el Reino Unido o en la UE, ese establecimiento puede actuar como representante. No necesitas nombrar a un tercero.
¿Qué pasa si solo trato datos de empleados en UK, pero no ofrezco servicios?
El tratamiento de datos de empleados se considera actividad de un establecimiento. Si tu empresa tiene empleados en UK, probablemente tengas un establecimiento allí, y por tanto no necesitas representante externo. Pero si no tienes presencia física, sí lo necesitas.
¿El representante debe ser una persona física o puede ser una empresa?
Puede ser una persona física o jurídica, siempre que esté establecida en el territorio correspondiente (UK o UE) y esté capacitada para actuar en tu nombre ante las autoridades de protección de datos.
Checklist: ¿Necesitas representante en UK y/o UE?
- ¿Tu empresa está establecida fuera del Reino Unido?
- ¿Ofreces bienes/servicios a personas en el Reino Unido?
- ¿Supervisas el comportamiento de personas en el Reino Unido?
- ¿Tu empresa está establecida fuera de la UE?
- ¿Ofreces bienes/servicios a personas en la UE?
- ¿Supervisas el comportamiento de personas en la UE?

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

Cláusulas de arbitraje forzoso: cómo las empresas te roban el derecho a un juez (y cómo defenderte)
¡Atención, empresas! La POPIA también protege los datos de las personas jurídicas en Sudáfrica
Apple sigue siendo gatekeeper: ¿qué cambia para tu negocio tras la sentencia de la UE?
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora