Las empresas deberán identificar una autoridad principal de protección de datos

Cuando el tratamiento de datos tenga carácter transfronterizo, la empresa u organización que lo desarrolle deberá identificar, de entre las de los distintos Estados, una autoridad supervisora "principal" de protección de datos, que será la encargada de vigilar, inspeccionar, investigar o coordinar las investigaciones que se realicen en relación a dicho tratamiento.

El artículo 4 del Reglamento General de Protección de Datos (RGPD), que entra en vigor en mayo de 2018, dictamina que el tratamiento es transfronterizo cuando el responsable del tratamiento tenga establecimientos en más de un Estado miembro, o, teniendo establecimiento en único país, su actividad "afecta sustancialmente o es probable que afecte sustancialmente" a interesados de más de un Estado miembro.

Para ayudar a determinar qué autoridad será la competente en estos supuestos transfronterizos, el Grupo de Trabajo del Artículo 29 (GT29) ha publicado unas Directrices que ofrecen las pautas en los supuestos ambiguos.

Como regla general, la autoridad corresponderá con la de la ubicación del "establecimiento principal", que será la administración central de la empresa en la UE, salvo en el caso de que las decisiones el tratamiento se adoptan en otro centro. En tal caso, este segundo será el que tenga tal consideración.

¿Cómo determinarlo en los supuestos que no son tan claros? Las Directrices fijan que, cuando la capacidad de decisión esté fragmentada entre los distintos centros de la organización, existirá más de una autoridad principal.

En los grupos de empresas, se considerará establecimiento principal aquél que tiene el control global -probablemente la empresa matriz-, salvo si existiera otro que decida sobre el tratamiento.

Si la administración central de la organización no está dentro del territorio de la UE, se deberá identificar el lugar en el que se adoptan las decisiones sobre el tratamiento.

Las autoridades supervisoras, no obstante, podrán recurrir la identificación del establecimiento principal.

El RGPD no ofrece soluciones para los casos en que no pueda determinarse un establecimiento principal. El GT29 apuestan por una solución "pragmática": que la empresa lo designe ella misma. En tal caso, dicho establecimiento deberá tener la autoridad necesaria para implementar decisiones sobre el tratamiento y asumir la responsabilidad del mismo.

Si no lo designa, no habrá autoridad principal y todas las autoridades supervisoras podrán investigar a la organización.

Lo que no se permite, explica el texto, son las "soluciones de conveniencia": fijar un establecimiento principal que no sea el que decida sobre el tratamiento. En tal caso, las autoridades podrán decidir cuál es la principal.