Lidia Gimeno

Abogada en Protección de Datos y Derecho de las Nuevas Tecnologías

El ámbito de aplicación territorial del RGPD: más allá de las fronteras de Europa

El próximo 25 de mayo entra en aplicación el temido Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD)). Uno de los cambios que trae consigo es el ámbito de aplicación territorial, provocando que empresas que en el pasado nunca se preocuparon de cumplir con las normas de protección de datos europeas a partir de la marcada fecha sí deban cumplir con ellas.

 

El objetivo del presente post es aclarar y determinar, de forma suscinta, el ámbito de aplicación territorial del RGPD. Para ello, se abordará, con profundidad, el artículo 3 del RGPD.

RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO EN LA UNIÓN EUROPEA

El apartado primero del artículo 3 del RGPD determina que el RGPD es aplicable al tratamiento de datos personales que se realicen en el contexto de actividades de un establecimiento del Responsable y/o Encargado del tratamiento en la Unión Europea.

 

Así, el precepto indica que:

“El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.”

 

El considerando 22 RGPD aporta dos elementos clave a tener en cuenta para interpretar el precepto. 

 

Se indica, por un lado, que será irrelevante que el tratamiento de datos personales se lleve a cabo -o no- en la Unión Europea. Lo relevante, en consecuencia, es que el tratamiento de los datos personales se realice derivado de las actividades del establecimiento en la Unión (y no tanto en atención a la localización del tratamiento).

 

Por otro lado, el considerando también aporta la definición del concepto “establecimiento”, disponiendo que es aquel lugar en el que se lleve a cabo “el ejercicio de manera efectiva y real de una actividad a través de modalidades estables“. Añade a ello que lo relevante no será la forma jurídica de la modalidad estable. 

RESPONSABLES Y ENCARGADOS NO ESTABLECIDOS EN LA UNIÓN EUROPEA

 

El apartado segundo y tercero del RGPD establecen la aplicación del RGPD más allá de las actividades de tratamiento realizadas en el contexto de establecimientos en la Unión.

 

Se indican tres formas de aplicación fuera de la UE del RGPD:

OFERTA DE BIENES/SERVICIOS A INTERESADOS EN LA UE

El artículo 3.2.a) RGPD indica que será de aplicación el RGPD a las actividades de tratamiento de datos personales por parte de Responsables y/o Encargados del tratamiento no establecidos en la UE cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a interesados en la UE (independientemente de si a estos se les requiere pago).

 

El considerando 23 indica que para determinarlo deberá analizarse si es evidente que el Responsable o Encargado proyectan ofrecer servicios a interesados en uno o varios Estados miembros de la UE.

Y, ¿Qué elementos deben tenerse en cuenta para valorar si estos servicios o bienes se ofrecen a interesados en la UE?

El considerando 23 indica los siguientes: 

  • Uso de una lengua o una moneda utilizada por uno o varios Estados miembros
  • Posibilidad de encargar bienes y servicios en la lengua del Estado miembro
  • Mención de clientes o usuarios residentes en la UE

CONTROL DE COMPORTAMIENTO DE INTERESADOS EN LA UE

El artículo 3.2.b) RGPD indica que será de aplicación el RGPD a las actividades de tratamiento de datos personales por parte de Responsables y/o Encargados del tratamiento no establecidos en la UE cuando las actividades de tratamiento estén relacionadas con el control del comportamiento de interesados en la UE, siempre y cuando dicho control del comportamiento se lleve a cabo en la UE.

 

El considerando 24 RGPD determina el modo de evaluar este control del comportamiento, indicando que debe evaluarse si los interesados de la UE son objeto de seguimiento en internet, inclusive el potencial uso de dichos datos con el fin de elaborar perfiles para adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

APLICACIÓN DE DERECHO DE UN ESTADO MIEMBRO POR NORMAS DE DERECHO INTERNACIONAL PÚBLICO

 

El artículo 3.3 RGPD prevé la aplicabilidad del RGPD a aquellos tratamientos de datos personales realizados por Responsables que no estando establecidos en la UE, les sea aplicable el Derecho de un Estado Miembro por aplicación de Derecho Internacional Público. Esto sucede, por ejemplo, en los tratamientos de datos personales llevados a cabo en una misión diplomática o en una oficina consular de un Estado miembro (considerando 25 RGPD).