Skip to main content

Aplicabilidad internacional del RGPD de la UE

| Categories: Español;

International Applicability

El Reglamento General de Protección de Datos de la UE (RGPD), una importante ley de privacidad introducida por la Unión Europea en mayo de 2018, no solo tuvo un gran impacto en el sector de los proveedores de servicios digitales basados en datos, sino que hoy sigue afectando a compañías de todos los tamaños, de todas las industrias y en todos los países del mundo. Muchos ejecutivos, directores de TI y encargados de cumplimiento fuera de la UE no están seguros de si los requisitos de cumplimiento del RGPD se aplican a su compañía y en qué medida.

Estas preocupaciones son muy razonables y deben abordarse de forma urgente, dado que el RGPD tiene un ámbito de aplicación muy amplio y puede generar graves riesgos de responsabilidad civil. Este artículo describe el alcance territorial del RGPD para las compañías que operan exclusivamente desde establecimientos fuera de la UE.

Pero, primero, algunas nociones básicas sobre el RGPD

El RGPD consiste en un amplio marco normativo que regula los usos de la información relativa a una persona identificada o identificable. En los contextos pertinentes, el RGPD exige a las compañías la garantía de ciertos principios, como la transparencia, la rendición de cuentas y la codeterminación del individuo cuya información personal se recopila y utiliza.

¿Qué sectores se ven afectados por el RGPD?

En lugar de imponer un reglamento específico para cada sector, el RGPD propone un enfoque único. Se aplica a la recopilación y el uso de información personal en cualquier ámbito, como en las relaciones con los clientes, el análisis del comportamiento de los usuarios respecto a los productos, el marketing, recursos humanos, el envío de mercancías y el suministro de sitios web, aplicaciones móviles y otros servicios en línea.

¿Qué actividades comerciales entran en el ámbito del RGPD?

El RGPD se aplica a cualquier «tratamiento de datos», es decir, cualquier uso de información personal en un sentido muy amplio, que incluye, entre otros,

  • la recopilación de las direcciones de IP de los visitantes de un sitio web o las direcciones de correo electrónico de los usuarios registrados,
  • la gestión de pedidos y la externalización de servicios de envío,
  • el registro y el análisis del comportamiento de los usuarios en un entorno informático,
  • el envío de comunicaciones, como ofertas comerciales o facturas, y
  • el almacenamiento de información personal en una base de datos o en la nube.

El ejercicio jurídico de pensar en diferentes «actividades de tratamiento de datos» es particularmente pertinente para las compañías que no operan desde la UE, ya que la pregunta de si deben cumplir con obligaciones específicas en virtud del RGPD debe responderse con respecto a un proceso empresarial concreto y no a la compañía en su totalidad. Por ejemplo, el mantenimiento de un sistema de gestión de relaciones con los clientes para manejar los datos de los clientes de la UE puede entrar en el ámbito de aplicación del RGPD, mientras que el almacenamiento de los datos maestros de los empleados de una compañía radicada en Japón no entraña ninguna obligación en virtud del RGPD.

¿Cuáles son las distintas funciones en el marco del RGPD?

Los datos se monetizan haciéndolos fluir. La información personal puede ser compartida entre socios comerciales, cotejada con otras fuentes de datos, analizada, alojada o agregada por los proveedores.

En el marco del RGPD, deben distinguirse dos niveles diferentes de propiedad de los datos para determinar la distribución de las responsabilidades si más de una compañía participa en un proceso comercial:

  • El «responsable del tratamiento» de datos es una persona jurídica «que, sola o junto con otros, determina los fines y medios del tratamiento» de los datos personales. Es decir, es la compañía responsable de las actividades comerciales que requieren los datos, por lo que normalmente es la entidad en cuyo beneficio se utiliza principalmente la información.
  • El «encargado del tratamiento» es una entidad legal «que trata datos personales por cuenta del responsable del tratamiento». Esta definición incluye a muchas compañías B2B, como SaaS, hosting, mantenimiento informático y proveedores de servicios en la nube o de contaduría.

Mientras que el responsable del tratamiento es plenamente responsable en el marco del RGPD y debe cumplir una amplia gama de requisitos, las responsabilidades del encargado del tratamiento son limitadas. Respecto a la pregunta de si el RGPD es aplicable a una compañía en particular, la diferenciación entre responsables y encargados del tratamiento de datos también desempeña un papel crucial, como le contamos a continuación.

Aplicabilidad del RGPD a compañías de fuera de la UE

El 13 de noviembre de 2019, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), un organismo de la UE formado por las autoridades nacionales de supervisión de la protección de datos, publicó las directrices oficiales [en inglés] sobre cómo interpretar las disposiciones sobre la aplicabilidad internacional del RGPD, que resumimos a continuación.

Si el responsable del tratamiento opera fuera de la UE

En el caso de los responsables del tratamiento de datos que no están establecidos en la UE, el RGPD se aplica directamente al tratamiento de los datos personales de los interesados que residen en la UE, cuando las actividades de tratamiento están relacionadas con:

  • el ofrecimiento de bienes o servicios, independientemente de que el servicio sea de pago o gratuito; o
  • el monitoreo de su comportamiento en lo que respecta a su comportamiento dentro de la UE.

Por lo tanto, el RGPD no afectará a las compañías que procesen información de forma involuntaria sobre personas que residan en la UE. Si, por ejemplo, una aplicación para celulares está dedicada exclusivamente al mercado de los Estados Unidos (determinado por el caso de que la aplicación requiera que los usuarios proporcionen un número de teléfono estadounidense durante el proceso de registro o que los términos y condiciones limiten los servicios a los Estados Unidos y las compras solo puedan realizarse en dólares estadounidenses), los datos de los usuarios recogidos mientras estos viajan por la UE no activarán la aplicabilidad del RGPD.

Según el EDPB, deben cumplirse dos condiciones respecto a un determinado tratamiento de datos personales simultáneamente, a saber, que el tratamiento de datos se refiera «a personas residentes en la UE» y que la compañía se dirija de alguna manera al mercado de la UE o monitoree a los ciudadanos de la UE.

Condición 1: Los interesados residen en la UE

El RGPD se aplica solo al tratamiento de la información de individuos «que residen en la UE». Según el EDPB, esta condición no se refiere a la ciudadanía o residencia del interesado, sino a su ubicación en cada caso. Por el contrario, esto también implica que el RGPD no se aplica al tratamiento de datos personales relativos a los ciudadanos de la UE que residen en estados no pertenecientes a la UE o que viajan fuera de la UE.

Si, por ejemplo, un ciudadano español viaja a China y utiliza una aplicación móvil operada por una compañía china que recoge datos de ubicación, el RGPD no se aplicará a este tratamiento. Sin embargo, en el caso de que un ciudadano chino que resida en España utilice la misma aplicación desde España, la recopilación de datos de ubicación entrará en el ámbito del RGPD si la segunda condición (detallada a continuación) es también aplicable a la aplicación móvil.

Condición 2: Enfoque hacia el mercado de la UE / monitoreo de comportamientos

Como segunda condición de aplicación del RGPD, las actividades comerciales de la compañía deben dirigirse de alguna manera al mercado de la UE (oferta de bienes o servicios a los interesados de la Unión), independientemente de que los servicios o bienes ofrecidos sean de pago o se ofrezcan gratuitamente.

Según el EDPB, esto abarca las siguientes operaciones comerciales:

  • presupuestar campañas publicitarias dirigidas a los consumidores de la UE, por ejemplo, a través de motores de búsqueda y redes sociales, o publicando testimonios procedentes de la UE,
  • ofrecer servicios de carácter internacional, como ciertas actividades turísticas,
  • utilizar dominios web de primer nivel de la UE, como .de, .fr, .es o .eu, o publicar versiones de un servicio en línea o una aplicación móvil en algún idioma de la UE, si dicho idioma difiere del comúnmente utilizado en el país desde el cual opera la compañía,
  • aceptar pagos en euros o en otra moneda de la UE,
  • mencionar la UE o sus estados miembros en el contexto de un bien o servicio, o proporcionar datos de contacto de asistencia específicos para clientes de la UE,
  • enviar mercancías a estados miembros de la UE,
  • elaborar perfiles, incluyendo iniciativas de publicidad basada en el comportamiento y el tratamiento de datos de geolocalización, especialmente con fines de marketing,
  • monitorear en línea con cookies u otras técnicas de monitoreo, como a partir de las huellas dactilares de los dispositivos,
  • ofrecer servicios digitales personalizados de dieta y análisis de salud,
  • administrar encuestas de mercado y otros estudios conductuales basados en perfiles individuales,
  • CCTV

Para determinar si el RGPD es de aplicación o no a una compañía de fuera de la UE y, en caso afirmativo, en qué medida, debería llevarse a cabo una evaluación jurídica personalizada. Para un primer examen, hemos creado un test en línea que le permitirá evaluar si su compañía necesita designar a un representante de la UE, que es el caso de la mayoría de las compañías no pertenecientes a la UE cuyas actividades entran en el ámbito de aplicación del RGPD.

Si el encargado del tratamiento opera fuera de la UE

Los encargados del tratamiento de datos de fuera de la UE están sujetos al RGPD si su cliente comercial (el responsable del tratamiento) lo está, en función de las condiciones mencionadas anteriormente. Por ejemplo: un minorista de venta en línea con sede en Argentina anuncia sus productos en Google AdWords y se dirige a los consumidores de la UE y, por lo tanto, entra en el ámbito del RGPD. Si el minorista utiliza los servicios de un proveedor de servicios en la nube para gestionar la información de sus clientes de la UE, el alojamiento de esos datos en la nube también activará la aplicabilidad del RGPD. El proveedor de servicios en la nube debe cumplir con las obligaciones (limitadas) del RGPD aplicables a los encargados del tratamiento.

¿Qué tenemos que hacer?

Las compañías que operan desde fuera de la UE que están sujetas al RGPD deben dar cumplimiento a varios requisitos legales. En EU-REP.Global estamos especializados en fungir de representantes de la UE y garantizamos el cumplimiento por parte de nuestros clientes de los requisitos del artículo 27 del RGPD.

Junto con nuestros socios legales, también asesoramos a nuestros clientes internacionales respecto a todos los temas relacionados con el RGPD, como las transferencias internacionales de datos, la documentación de cumplimiento y la asignación de delegados de protección de datos. No dude en ponerse en contacto con nosotros para más información.

EU Commission Sets Timeline for New SCCs after the “Schrems” Judgement

In a meeting of the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs held in Brussels today, EU Commissioner Didier Reynders delivered remarks on what to expect for the future of international data transfers after the European Court of Justice has ruled the EU-US Privacy...

Sigue leyendo

Data Mapping & the GDPR: "Records of Processing Activities"

Any privacy law implementation program is based a proper data mapping. But is it even a legal obligation? Under the GDPR, the answer is a clear "yes" for most of modern businesses. Article 30 requires companies to maintain so-called "records of processing activities" (also known as RPA or ROPA) with...

Sigue leyendo

GDPR Enforcement: The Real Risks of Non-Compliance

Whereas public supervisory authorities granted an informal grace period to implement the new provisions of the EU General Data Protection Regulation (GDPR) and allocated many resources to awareness-raising campaigns in 2018, their focus clearly shifted towards enforcement in 2019. The risk of...

Sigue leyendo