Titolari o responsabili del trattamento non stabiliti nel territorio dell'Unione europea sono obbligati a designare per iscritto un rappresentante nel territorio dell'Unione.
L'art. 4 del regolamento europeo definisce, quindi, il rappresentante, come "la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento". Il rappresentante funge da interlocutore delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento dei dati personali. Ovviamente la nomina del rappresentante non esime da responsabilità il titolare o il responsabile. Tuttavia il Considerando 80 precisa che "Il rappresentante designato dovrebbe essere oggetto di misure attuative in caso di inadempienza da parte del titolare del trattamento o del responsabile del trattamento".
E' l'art. 27 del GDPR che ne prevede l'obbligo. Se il titolare del trattamento, pur non essendo stabilito nell'UE, offre comunque beni e servizi (art. 3, par. 2, lett. a) GDPR) a soggetti presenti nel territorio dell'Unione, e quindi operi dei trattamenti sui cittadini dell'Unione europea, è comunque soggetto al regolamento europeo. In questo caso deve designare un rappresentante nel territorio dell'Unione (in uno degli Stati dell'Unione). Ovviamente il rappresentante può essere una persona fisica ma anche giuridica.
L'obbligo invece non scatta se:
- il trattamento è occasionale;
- il trattamento non include categorie particolari di dati (ex art. 9, par. 1) su larga scala;
- ed è improbabile che il trattamento presenti un rischio per le libertà e i diritti delle persone.
Devono sussistere contemporaneamente tutte e tre le condizioni per non essere soggetti all'obbligo. L'obbligo non sussiste anche nel caso in cui si tratti di autorità pubbliche o organismi pubblici. Ad esempio un negozio a conduzione familiare con ecommerce online e clienti occasionali dall'Unione europea può ignorare l'obbligo, non trattando abbastanza dati o non presentando abbastanza rischi per gli interessati dell'UE.
Il rappresentante, oltre a fungere da punto di contatto con le autorità, può fornire aggiornamenti tempestivi in relazione alla normativa o alle prassi di settore, può essere incaricato alla tenuta dei documenti legali, ad esempio del registro dei trattamenti. Il rappresentante va nominato per iscritto, con apposita autorizzazione che delimita i suoi compiti, e deve essere indicato nei documenti legali informativi.
L'atto di nomina del rappresentante deve includere:
- Il nome e l'indirizzo del titolare (o del responsabile);
- Il nome e i dettagli di contatto del rappresentante UE;
- un riferimento alla necessità di nominarne uno in base all'articolo 27 GDPR;
- le condizioni dell'incarico (retribuzione, ore lavorate, preavviso di licenziamento, ecc...);
- le clausole sulla responsabilità;
- ovviamente una clausola di riservatezza.
In base al Considerando 80 del GDPR, il rappresentante designato può essere soggetto a procedimenti esecutivi in caso di inosservanza da parte del titolare del trattamento o del responsabile del trattamento. In sostanza se il titolare o il responsabile violano le norme in materia, le autorità europee potrebbero agire direttamente contro il rappresentante designato nel territorio dell'Unione.
La designazione di un rappresentante, invece, non fa scattare il meccanismo dello one-stop-shop, per il quale è richiesto l'effettivo stabilimento nel territorio dell’Unione. In presenza del solo rappresentante, quindi, il titolare del trattamento è soggetto alla giurisdizione contemporanea di tutte le autorità di controllo nazionali, potendo quindi ognuna di esse agire contro il titolare.
Il rappresentante non va confuso col DPO, e in particolare secondo l'EDPB (vedi linee guida 9/2023 sulle violazioni dei dati) sussiste incompatibilità tra i due ruoli.