✔ En el ámbito de aplicación territorial en materia de protección de datos nos encontramos con cambios relevantes puesto que el ámbito territorial del RGPD amplía los criterios establecidos en la LOPD 15/1999. Por lo tanto, se torna relevante conocer el alcance y los efectos en relación con la aplicación territorial del Reglamento Europeo.
¿En qué contexto aplica el RGPD?
El artículo 3 del Reglamento dispone en tres apartados en los que se establece el ámbito territorial del RGPD.
En el apartado primero, dispone que el Reglamento “ aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.”
Por su parte el apartado segundo, dispone que el Reglamento “ se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”
Finalmente, el apartado tercero, dispone que el Reglamento “ se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.”
✔️ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.
✔️ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.
Análisis de los criterios para la aplicación territorial del RGPD
En este apartado se desarrollarán brevemente los criterios dispuestos por el Comité Europeo de Protección de Datos (CEPD) en su Guía 3/2018 relativa a al ámbito territorial del RGPD
1) Aplicación del Criterio de establecimiento (Art. 3.1 RGPD)
Este criterio aplica tanto a responsables como encargados del tratamiento.
Respecto a la relación entre responsables y encargados, podemos realizar las siguientes distinciones:
a. Responsable de la UE y Encargado no de la UE: el responsable deberá asegurarse de mediante contrato de encargado del tratamiento que el encargado cumpla con las obligaciones que el RGPD establece para este.
b. Responsables no de la UE y Encargados de la UE: al encargado le aplicaran las obligaciones que para el establece el Reglamento Europeo, mientras que al responsable no necesariamente le será de aplicación el Reglamento.
Para determinar la aplicación de este criterio se debe tener presente dos conceptos que surgen del Art. 3.1. RGPD:
a. Establecimiento: el considerando 22 del RGPD dispone que un establecimiento “ implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables”, sin que la forma jurídica que revistan dichas modalidades sea un factor determinante al respecto. La doctrina del TJUE al respecto de este punto dispone que la noción de establecimiento se extiende a cualquier actividad real y efectiva, por mínima que sea, que se ejerza a través de modalidades estables. Se debe analizar caso por caso.
b. “en el contexto de las actividades” del establecimiento: son dos los criterios que establece el CEPD: i) si la actividad del encargado del tratamiento se encuentra relacionada de forma estrecha con la actividad del responsable del tratamiento; y ii) si con motivo de la relación estrecha entre encargado y responsable se genera un aumento en los ingresos provenientes del establecimiento en la UE.
2) Aplicación del Criterio de Orientación (Targeting) (Art. 3.2. RGPD)
Este criterio del ámbito territorial del RGPD se refiere a los datos personales de los interesados que se encuentren en la UE. Por lo tanto, el mencionado criterio no se limita o circunscribe únicamente a ciudadanos o residentes de la UE, sino que aplica a toda persona que se encuentre en la UE.
Respecto a la actividad de tratamiento relacionada con oferta de bienes o servicios a dichos interesados en la Unión, he de decir que, quedan incluidos los servicios de la sociedad de la información (definidos en el Art.1.b Directiva (UE) 1535/2015).
Este criterio aplica indistintamente a si se les requiere o no un pago a los interesados situados en la UE.
Para determinar si este criterio aplica en relación con la oferta de bienes y servicios es vital establecer si los medios y fines del tratamiento dispuestos por el responsable evidencian la intención del responsable de ofrecer los bienes y servicios a las personas que se encuentren en la UE.
En tal sentido dispone el considerando 23 del RGPD dispone que “Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”
En relación con la actividad de tratamiento relacionada con control del comportamiento, para que sea aplicable el criterio de orientación, debe realizarse desde fuera de la UE respecto a personas que se encuentren en la UE.
En tal sentido el considerando 24 del RGPD establece que “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.”
3) Tratamiento de datos donde la ley de los Estados Miembros aplique en virtud del derecho público internacional.
Respecto a la aplicación del derecho internacional público en relación con el ámbito territorial del RGPD, la CEPD considera que el RGPD aplica al tratamiento de datos personales realizados por las embajadas y consulados de los Estados Miembros de la UE.
Representantes de los Responsables del Tratamiento no establecidos en la Unión Europea
En el ámbito territorial del RGPD, los responsables o encargados del tratamiento sujetos a las disposiciones del Reglamento Europeo a través de las disposiciones del Art. 3.2 tienen la obligación de designar un representante en la UE. El no proceder con la designación supondría un incumplimiento del RGPD pasible de sanción.
En la práctica, la funciones que realiza el representante – sea persona física o jurídica – pueden determinarse en un contrato de servicios.
Ahora bien, no será aplicable, según Art. 27.2, el deber de nombrar representantes:
a) “al tratamiento que sea ocasional, que no incluyan el manejo a gran escala de categorías especiales de datos indicadas en el artículo 9, apartado 1, o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento, o
b) a las autoridades u organismos públicos.”
▸Estimado lector, ¡¡gracias por su tiempo!!
